Wenn Sie Ihre Daten als String speichern und sie nicht parsen, um den Mongo-Befehl auszuführen, müssen Sie sich keine Sorgen machen.
Schöner Artikel zum Thema Sicherheit
http://cr.yp.to/qmail/guarantee.html
Das einzige Problem tritt auf, wenn Sie die Benutzereingabe abrufen und diese Eingabe analysieren, um den Mongo-Befehl auszuführen. Hier müssen Sie darauf achten, die Eingabe zu bereinigen, sonst werden Sie angegriffen.
Dafür gibt es ein npm-Paket
https://www.npmjs.com/package/mongo-sanitize
und auch ein schöner Artikel dazu
