Se você armazenar seus dados como String e não estiver analisando-os para executar o comando Mongo, não há muito com que se preocupar com isso.

Belo artigo sobre segurança

http://cr.yp.to/qmail/guarantee.html

O único problema ocorre quando você está recuperando a entrada do usuário e analisa essa entrada para executar o comando do Mongo, aqui você precisará tomar cuidado para higienizar a entrada, ou então será atacado.

Existe um pacote npm para fazer isso para você

https://www.npmjs.com/package/mongo-sanitize

e bom artigo sobre isso também

https://thecodebarbarian.wordpress. com/2014/09/04/defending-against-query-selector-injection-attacks/