Javascript Promise.all для увеличения скорости этой функции

Вы должны привязать значения к заполнителям в подготовленном сообщении. См. Примеры в документации .

Попытка построить строку запроса «на лету» с неизвестными значениями, вставленными непосредственно в нее, - отличный способ получить инъекцию SQL , и его следует избегать.