Du strict point de vue "injection", la sécurité est uniquement liée au protocole, peu importe que ce soit du SQL, du NoSQL, ou n'importe quoi d'autre. Accessoirement tu ne peux pas arbitrairement remplacer tes bases SQL par du NoSQL, puisque comme leur nom l'indique ça n'est pas la même chose (et donc pas fait pour faire la même chose, et donc pas interchangeable).