Внедрение js-инъекции, это как? Я правильно понял?
Есть сайт, я хочу получить доступ к базе(node.js), для этого решаюсь внедрить код на сервер. Делаю я это, ведя через поле вода логина (логин, сверяется, проверяется есть ли он на сервере), вожу js код чтоб распознавался базой - Так ли, все работает?
Если кто-то в коде серверного js выполняет eval полей из бд, то тогда да - вы можете выполнить код, но наврятли кто-то пишет на node и при этом делает такие конструкции, которые родня разве что только популярным плагинам популярных CMS, на PHP, где eval сплошь и рядом.
На node такой х врятли будут заниматься.
Хотя кто вас знает - JavaScript backend программисты.
Если повезет, этот код попадет в бд, а потом в чистом виде будет выведен где-то на странице чтоб верстка не сломалась. И вот тогда есть шанс, что он выполнится в браузере. Что ты с этим будешь делать - дело твое, можешь свои куки своровать.