Pokud svá data ukládáte jako řetězec a neanalyzujete je za účelem provedení příkazu Mongo, není se čeho bát.
Pěkný článek o bezpečnosti
http://cr.yp.to/qmail/guarantee.html
Jediný problém nastává, když získáváte uživatelský vstup a analyzujete tento vstup, abyste provedli příkaz Mongo, zde se budete muset postarat o dezinfekci vstupu, jinak dostanete útok.
Existuje balíček npm, který to udělá za vás
https://www.npmjs.com/package/mongo-sanitize
a pěkný článek o tom taky