我正在为ios设备开发一个应用程序。这些手机显然充当了客户端，然后我有一个node.js api，已经部署到heroku，我还使用了heroku postgres数据库。我的postgres数据库在上具有“默认”凭据。我的api数据库连接已初始化为：

const pool = new Pool({
  connectionString: process.env.DATABASE_URL,
  ssl: {
    rejectUnauthorized: false
  }
});

我的sql请求都或多或少类似于：

`INSERT INTO table (param1, param2, param3) VALUES($1, $2, $3)`

我以前从未做过任何类型的安全工作，所以我实际上没有采取任何措施来防止我现在所知道的中间人拦截和sql注入。我还想知道我的池初始化是否应该包含任何其他参数来提高安全性。我也很好奇，是否有人对如何加密/解密实际电话号码有任何建议或链接（现在他们只是以文本形式存储，我个人收到了一些垃圾短信，所以有人不知何故获得了这些号码）。