danke.

ich hab das jetzt so gemacht:

insert into user_mitarbeiter (user_id, mitarbeiter_id) values ($user_id, (select mitarbeiter_id from mitarbeiter where name = $name));

ist bedenklich, also das Einfügen von Variablen in SQL Statements. Unter SQL Injection findest Du Verfahren ebe das zu verhindern.

ich mach das so:

var insert_team_mitarbeiter = "insert into team_mitarbeiter (team_id, mitarbeiter_id, stunden_pro_woche) values ($team_id, (select mitarbeiter_id from mitarbeiter where name = $name ),1);";

st = db.prepare(insert_team_mitarbeiter);
st.run({$team_id: user_id[0].id, $name: data.name}, function(err) {});
st.finalize();

ich dachte das verhindert bereits sql injection?