Подводя итог документации MongoDB
BSON
Поскольку клиентская программа собирает запрос в MongoDB, он строит объект BSON, а не строка. Таким образом, традиционные атаки SQL-инъекций не являются проблемой.
blockquote>Однако MongoDB не защищен от инъекций. Как отмечено в той же документации, атаки на инъекции по-прежнему возможны, поскольку операции MongoDB позволяют выполнять произвольные выражения JavaScript непосредственно на сервере. Документация подробно рассматривается в этом документе: