In MongoDB l'operatore $where non andrebbe mai usato con l'input utente.
$where accetta codice JavaScript che verrà usato direttamente sulla collezione su cui si sta operando. Il rischio concreto è quello
di avere una injection di codice arbitrario passato direttamente a MongoDB.
Per questo motivo si sconsiglia vivamente di utilizzare questo operatore direttamente con l'input utente.