Você pode ter certeza de que o seguinte é feito?

1. 
   O content-type o cabeçalho na solicitação deve ser application/json
   
2. 
   Use o body-parser (ou bibliotecas semelhantes) para analisar cargas JSON -> Você pode imprimir o req.body para validar isso.
   
3. 
   Se você puder confirmar que os valores estão acessíveis, sugiro escapar valores de consulta conforme mencionado em https://github.com/mysqljs/mysql#escaping-query-values (ou em qualquer biblioteca mysql que você usa) - especialmente porque é uma consulta DML.
   

(Também suponho que os nomes de campo usados ​​na consulta correspondem aos do banco de dados e são do tipo de dados correto.)