Node.js NodeJS POST数据（请求正文）是否会被黑客攻击/更改/注入？

首先，很抱歉我的英语不好：）

假设我有一个REST API的模型和控制器

PostModel.js：

const postSchema = new mongoose.Schema({
    author: {
        type: mongoose.Types.ObjectId, 
        required: true
    },
    title: String,
    content: String
})

postController.js：

const createPost = async (req, res, next) => {
   const newPost = await Post.create(req.body);

   res.status(200).json bla bla bla
}

客户机是否可以（编辑/攻击/注入）来自req.body的数据

我这样想：

从前端开始，表单只有标题和描述字段

用户填写标题和说明

和用户强制攻击/将作者id注入另一个用户id

---

谢谢，在将用户数据传递到您的模型之前验证用户数据总是一个好主意。然而，据我所知，mongoose是做这部分的，因为它是ODM，所以我认为注入在这里不起作用。我可能错过了一些东西，但用户可以在帖子正文中传递任何东西（使用像Postman一样简单）