「SQLクエリを実行する」というブロックにクエリを書いています。テーブルは以下のように作っていました。

実際に実行します。

画像上部のnameがURLにくっつけているクエリ文字列の値です。想定通り動いていますね。ここで私は思ったわけです。「(これ、SQLインジェクション通るんか...？)」。ちょっと呟いてみたところ同期の和田くんが試してくれました。すると...

あー......これはいけない。まずいぞ...。クエリ実行ブロックの前に特殊文字を弾く分岐処理を入れても良いのですが、スマートじゃないしめんどうなので、どうにかして回避する方法を調べました。するとここのサイト(外部サイトです)が同じことを書いていました。しかも回避方法も載っていました。

このサイトによると「SQLクエリを実行する」ブロックの formalParameters というオプションを使用してパラメータを宣言します。宣言したパラメータにクエリ文字列を参照させて、そのパラメータをクエリに挿入すると良いそうですね。
さっそく新しいパラメータの追加で formalParameters オプションを追加してパラメータを宣言します。最終的にブロック内は以下のようになりました。