Ако съхранявате данните си като String и не ги анализирате, за да изпълните команда Mongo, тогава няма какво да се притеснявате.
Хубава статия за сигурността
http://cr.yp.to/qmail/guarantee.html
Единственият проблем възниква, когато извличате въведеното от потребителя и анализирате този вход, за да изпълните командата Mongo, тук ще трябва да се погрижите да дезинфекцирате входа, в противен случай ще получите атака.
Има пакет npm, който да направи това вместо вас
https://www.npmjs.com/package/mongo-sanitize
и хубава статия за това също
