Hallo,
es ist durchaus möglich eine direkte Verbindung zu MySQL-Server herzustellen ohne mehr Risiken einzugehen als über den Weg mit PHP.
Die Strategie ein Webinterface zwischen zu schalten, stammt aus den oftmals gegebenen Voraussetzungen keinen direkten Zugriff
zu haben und aus der Tatsache, dass diese Strategie seit MySQL < 4.0 quasi "standard" ist.
Seit MySQL sichere Verbindungen mittels SSL und gespeicherte Prozeduren anbietet gehören alle genannten Sicherheitsbedenken
die mir in den Jahren untergekommen sind der Vergangenheit an.
Ein Benutzer der nur das Execute-Recht in MySQL-Server besitzt und für den eine sichere Verbindung erzwungen wird hat am Ende
genau soviel oder sowenig Möglichkeiten die Datenbank anzugreifen wie über ein REST-Interface oder vergleichbares.
Wie beim Web-Interface muss der Angreifer die Schnittstellen kennen. In dem Fall die Prozeduren, was anderes "sieht" er nicht.
Eine Protokollierung der Aktivitäten kann in den SP's ebenfalls problemlos durchgeführt werden.
Über Vor- und Nachteile kann man sicher streiten, was die Implementierung an geht - aber nicht was die Sicherheit anbelangt.
Mfg
Sabotage