Se memorizzi i tuoi dati come String e non li stai analizzando per eseguire il comando Mongo, non c'è molto di cui preoccuparsi.
Bell'articolo sulla sicurezza
http://cr.yp.to/qmail/guarantee.html
L'unico problema si verifica quando stai recuperando l'input dell'utente e analizzi quell'input per eseguire il comando Mongo, qui dovrai fare attenzione a disinfettare l'input, altrimenti verrai attaccato.
C'è un pacchetto npm per farlo per te
https://www.npmjs.com/package/mongo-sanitize
e bell'articolo anche su questo
