@UPDATE
Coniesan: Dafür gibt es heutzutage noch deutlich einfachere/bessere Tools. Gebe dir allerdings völlig Recht. Aber kann man nicht jedes Tool/Programm irgendwie umgehen wenn wir mal ehrlich sind? Wird wahrscheinlich bei fast allem schwieriger wenn man es mit .NET vergleicht..
Ich denke, du hast nicht ganz verstanden, was er dir sagen wollte. Er wollte nur explizit davor warnen, wichtige Informationen wie DB Zugangsdaten an den Client zu übertragen bzw. diese im Client zu speichern. Dabei spielt es keine Rolle, mit welcher Technik bzw. in welcher Programmiersprache das Ganze geschrieben wurde.
Du könntest z.B eine einfache REST API auf die Beine stellen, welche die ganzen Queries etc. ausführt mit validiertem User Input (beachte dabei SQLi/RCE/RFI/...), damit nimmst du diese Aufgabe vom Client und bist zu "99%" (zumindest wenn du jeden User Input sauber validiert hast) sicher, wodurch es nicht mehr möglich wäre das ganze zu "umgehen" (ich denke mal, so was in der art das war mit "sodass die eigentlichen Admin Funktionen von einer art Gateway Server ausgeführt & validiert werden (können/müssen)" gemeint)
HelloBrightness
Könnte er nicht theoretisch auch "2" Anwendungen schreiben?.
Anwendung 1 kriegt der jeweilige GM/Helfer und die Befehle gehen per Request an den Admin(welcher die zweite Anwendung mit der DB hat). Dieser kann die offenen Requests einsehen und entweder genehmigen oder ablehnen. So haben die Teamler keinen direkten Zugriff auf die Datenbank oder sehe ich das falsch?