Как предотвратить SQL injection в Node.js?

Главное правило: НИКОГДА не конкатенировать пользовательский ввод в SQL строки. Правильно: параметризованные запросы ($1, $2 в pg), ORM автоматически параметризует, tagged template literals в slonik/kysely. Неправильно: SELECT * FROM users WHERE name = "${req.body.name}". ORM (Prisma, TypeORM) защищают автоматически при использовании их API. При raw queries в Prisma: prisma.$queryRawSELECT * FROM users WHERE id = ${id} — безопасно. prisma.$queryRawUnsafe(...${userInput}...) — небезопасно, только для динамических имён колонок с вайтлистом.