Si almacena sus datos como String y no los está analizando para ejecutar el comando Mongo, entonces no hay mucho de qué preocuparse.
Buen artículo sobre seguridad
http://cr.yp.to/qmail/guarantee.html
El único problema ocurre cuando está recuperando la entrada del usuario y analiza esa entrada para ejecutar el comando Mongo, aquí deberá tener cuidado de desinfectar la entrada, o de lo contrario será atacado.
Hay un paquete npm para hacer eso por usted
https://www.npmjs.com/package/mongo-sanitize
y buen artículo sobre esto también
