В теории нужно фильтровать и валидить все, что приходит от пользователя.
Дело даже не в безопасности.
На практике конечно зависит от вашего запроса, но даже при хорошем раскладе, рано или поздно при получении некорректных данных вылезет какая нибудь странная mongo ошибка - что нибудь вроде parseError
stackoverflow.com/questions/19546561/node-mongodb-... отловить которую будет долго, больно и обидно :-)
А при превалидации у вас сразу будет ответ на вопрос кто и зачем, а главное куда ввел некорректные данные.