Hvis du gemmer dine data som streng, og du ikke analyserer dem for at udføre Mongo-kommandoen, er der ikke meget at bekymre sig om.
God artikel om sikkerhed
http://cr.yp.to/qmail/guarantee.html
Det eneste problem opstår, når du henter brugerinputtet, og du analyserer det input for at udføre Mongo-kommandoen, her skal du sørge for at rense inputtet, ellers vil du få angreb.
Der er en npm-pakke til at gøre det for dig
https://www.npmjs.com/package/mongo-sanitize
og fin artikel om dette også