http://php.net/manual/en/mongodb-bson -objectid.construct.php lit :
Ainsi, la vérification peut être une simple regex :
if(preg_match('/^[0-9a-f]{24}$/i', $id) === 1) {
.....
Ou si vous préférez vous en tenir au constructeur ObjectId et le rendre évolutif, faites-le avec try-catch :
try {
$user = $this->collection->findOne([
'_id'=> new \MongoDB\BSON\ObjectId($id)
]);
if(!$user){ return false; }
return $user;
} catch() {}