GitLab

O pg tem suporte a query parametrizada, evitando assim SQLi, uma solução é ao invés de passar uma query string, passar uma interface, onde existe um array com os parametros, e outro com a query, dessa forma evita-se SQLi

Fonte: https://github.com/brianc/node-postgres/wiki/FAQ#8-does-node-postgres-handle-sql-injection

client.query("SELECT * FROM table where username=$1 and password=$2", [username, password], (error, result) => {
...
cb(error, (result) ? result : null);
});