Если у меня есть маршрут в Express с параметрами маршрута, которые используются для запросов к моей базе данных, нужно ли мне дезинфицировать этот параметр перед его использованием?
То, что вы делаете и что не нужно дезинфицировать, полностью зависит от того, что вы с ним делаете.
Содержимое параметра маршрута полностью исходит от пользователя, поэтому это может быть все, что разрешено в URL-адресе и соответствует вашему параметру маршрута. Это означает, что есть вероятность, что туда может быть введено что-то вредное. Но, опять же, возможен ли вред на самом деле или нет, зависит от того, какой именно код вы используете. Если бы вы вводили этот пользовательский контент в оператор SQL, то это могло бы привести к самым разным плохим последствиям. Если вы просто использовали его в качестве программируемого аргумента запроса в конкретном API базы данных, это может быть безвредно.
Таким образом, нет универсального ответа, применимого ко всем возможным вариантам использования данных. Это зависит от точного кода, в котором вы его используете.
Если вы сомневаетесь, продезинфицируйте и подтвердите ввод пользователя перед его использованием.