Очищает ли pg (node-postgres) данные автоматически?

Это зависит от того, как вы выполняете свои запросы:

Форматирование через Prepared Statements выполняется сервером, который, в свою очередь, очищает ваш запрос от любых SQL-инъекций. Но у него есть и другие ограничения, например, вы не можете выполнять более одного запроса за раз, и вы не можете предоставлять очищенные имена сущностей, когда это необходимо.

Форматирование запроса на стороне клиента, подобное реализованному в pg-promise, очищает значения, плюс предлагает гибкость в форматировании имен объектов и множественных запросов.

Абсолютно! Поддержка параметризованных запросов в node-postgres является первоклассной. Все экранирование выполняется сервером postgresql, обеспечивающим правильное поведение на диалектах, кодировках и т. д. Например, это не будет внедрять sql:

client.query("INSERT INTO user(name) VALUES($1)", ["'; DROP TABLE user;"], function (err, result) {
  // ...
});

Это из их документации.

В основном это зависит от того, как вы выполняете свои запросы, как описано @vitaly-t

Предположим, вы определите запрос в строке и выполните его следующим образом:

var query = `SELECT * FROM table where username='${username}' and password='${password}`;
        
pool.query(query, (error, results) => {
});

В этом случае, если бы я передал username=' 'или 1=1; -- и пароль=' 'или 1=1; --

Затем он вернет все записи из таблицы (означает, что SQL-инъекция работает)

Но если бы я выполнил следующий запрос

pool.query('SELECT * FROM table where username=$1 and password=$2', [username, password], (error, results) => {
});

Тогда SQL-инъекция никогда не сработает, потому что pg очистит данные.

Так что это зависит от того, как вы выполняете запросы.