ORM's já possuem proteção contra isso, fique despreocupado se você utiliza Mongoose, TypeORM, etc, porém, se você escreve a Query de forma bruta colocando variáveis que o usuário modifica, aí você tem um problema.

Recomendo pesquisar os métodos utilizados pela linguagem que você utiliza, um exemplo em PHP: https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php