Sequelize escapa de substituições, o que evita o problema no centro dos ataques de injeção de SQL:strings sem escape. Ele também suporta parâmetros de ligação ao usar SQLite ou PostgreSQL, o que alivia ainda mais o risco enviando os parâmetros para o banco de dados separadamente para a consulta, conforme documentado aqui :