Вы можете привязать значения (подготовить их) к вашему выражению вместо построения строки, что довольно легко сделать в драйвере node.js.Тогда практически нет проблем.То, что отправляется по проводам, - это идентификатор оператора, а затем список параметров, которые Кассандра будет использовать для запроса данных.
Если вы берете ненадежные строки у пользователя и объединяете строку вместе, вы могли бы создать сценарий, в котором возможны инъекции.