Si vous stockez vos données sous forme de chaîne et que vous ne les analysez pas pour exécuter la commande Mongo, il n'y a pas grand-chose à craindre.
Bel article sur la sécurité
http://cr.yp.to/qmail/guarantee.html
Le seul problème se produit lorsque vous récupérez l'entrée de l'utilisateur et que vous analysez cette entrée pour exécuter la commande Mongo, ici vous devrez prendre soin de nettoyer l'entrée, sinon vous serez attaqué.
Il existe un package npm pour le faire pour vous
https://www.npmjs.com/package/mongo-sanitize
et bel article à ce sujet aussi