Jeśli przechowujesz swoje dane jako String i nie analizujesz ich w celu wykonania polecenia Mongo, nie ma się czym martwić.
Ładny artykuł o bezpieczeństwie
http://cr.yp.to/qmail/guarantee.html
Jedyny problem pojawia się, gdy pobierasz dane wejściowe użytkownika i analizujesz je, aby wykonać polecenie Mongo, tutaj musisz zadbać o oczyszczenie danych wejściowych, w przeciwnym razie zostaniesz zaatakowany.
Istnieje pakiet npm, który zrobi to za Ciebie
https://www.npmjs.com/package/mongo-sanitize
i fajny artykuł na ten temat
