Confesso que eu não sei muito sobre o assunto, mas acredito não ser uma boa ideia usar template literals em SQL (ex.: `SELECT * FROM XXX WHERE id = ${id}`).
No curso já foi apresentado o uso do placeholder ? no meio do comando pra substituir um argumento, e acredito que essa seja a forma mais segura de montar queries.
No caso dessa aula, a entrada passada pelo usuário já passou pelo parseInt() e portanto já foi sanitizada, mas acho bom apontar que caso não houvesse sanitização e validação da entrada esta aplicação seria vulnerável a injeção de SQL. Com isso, um invasor conseguiria alterar entradas do banco e possivelmente apagar toda a tabela.
