Sequelize evita le sostituzioni, il che evita il problema alla base degli attacchi di SQL injection:le stringhe senza escape. Supporta anche i parametri di associazione quando si utilizza SQLite o PostgreSQL, che allevia ulteriormente il rischio inviando i parametri al database separatamente alla query, come documentato qui :
