Om du lagrar din data som sträng och du inte analyserar den för att utföra Mongo-kommandot, så finns det inget mycket att oroa sig för.
Trevlig artikel om säkerhet
http://cr.yp.to/qmail/guarantee.html
Det enda problemet uppstår när du hämtar användarinmatningen, och du analyserar den ingången för att utföra Mongo-kommandot, här måste du se till att sanera inmatningen, annars kommer du att få attack.
Det finns ett npm-paket för att göra det åt dig
https://www.npmjs.com/package/mongo-sanitize
och trevlig artikel om detta också