Sequelize escapa a los reemplazos, lo que evita el problema central de los ataques de inyección SQL:las cadenas sin escape. También admite parámetros vinculantes cuando se usa SQLite o PostgreSQL, lo que alivia aún más el riesgo al enviar los parámetros a la base de datos por separado para la consulta, como se documenta aquí :
