Als u uw gegevens opslaat als String en u deze niet ontleedt om de Mongo-opdracht uit te voeren, hoeft u zich daar geen zorgen over te maken.
Mooi artikel over beveiliging
http://cr.yp.to/qmail/guarantee.html
Het enige probleem doet zich voor wanneer u de gebruikersinvoer ophaalt en u die invoer ontleedt om het Mongo-commando uit te voeren. Hier moet u ervoor zorgen dat de invoer wordt gezuiverd, anders krijgt u een aanval.
Er is een npm-pakket om dat voor u te doen
https://www.npmjs.com/package/mongo-sanitize
en leuk artikel hierover ook