Für eine Webanwendungsdatenbank unter SicherheitsaspektennurWas sind Argumente gegen den Punkt für eine sp only-Lösung, bei der das db-Konto der App keine Rechte für Tabellen und Ansichten hat und nur auf sps ausgeführt wird?

Wenn jemand das App-DB-Konto abfängt, ist die Angriffsfläche viel geringer als wenn Tabellen und Ansichten nicht verfügbar sind. Welche Sicherheitsvorteile würde eine Nicht-SP-Lösung bieten (oder nicht)? Ich sehe viele Vorteile, wenn ich eine Nicht-SP-Lösung verwende, aber das Aufdecken aller Tabellen macht mir ein wenig Sorgen.

Die Frage betrifft die wichtigsten Produkte von Datenbankanbietern im Allgemeinen, jedoch speziell SQL Server 2008.