プレースホルダーを使用している場合、引用/エスケープについて心配する必要はありません。したがって、この:
resultSet = db.execute (
'INSERT INTO MYTABLE VALUES (?, ?, ?) WHERE id=?',
[some, variables, that_you_got_from, somewhere]
)
そのままでいいです。一連の文字列を貼り付けて SQL を構築しようとしている場合は、問題が発生するため、そうしないでください。ただし、SQL を取得するために文字列を一緒に貼り付ける必要がある場合もありますが、それを回避する安全な方法があります。このようなものは、プレースホルダーと文字列連結の両方を使用できる一般的なケースになる傾向があります。
var list = some_array_of_unknown_size_and_origin;
var qs = [ ];
for(var i = 0; i < list.size; ++i)
qs.push('?');
var rs = db.execute(
'UPDATE some_table SET col = 'blahblah' WHERE id IN (' + qs.join(',') + ')',
list
);