Euh une API, c'est pas non plus l'idéal, surtout s'il la développe lui-même. C'est le meilleur moyen pour avoir un trou de sécu encore plus gros... Bien sécuriser une BDD ça n'est pas impossible. Un compte root, ça se protège... et en dev d'entreprise (en tout cas dans le monde Oracle), on a autant d'utilisateurs Oracle que d'utilisateurs de l'application, et tous les droits sont donnés à ces utilisateurs de BDD en fonction de leurs droits effectifs...