Para um banco de dados de aplicativos da Web, do ponto de vista de segurançasó, o que são argumentos contra o ponto para uma solução única sp onde a conta do aplicativo db não tem direitos para tabelas e exibições e apenas exec em sps?

Se alguém interceptar a conta db do aplicativo, a área de superfície exposta a um ataque será muito menor do que quando as tabelas e exibições não forem expostas. Quais vantagens de segurança uma oferta não-sp oferece (ou não)? Eu vejo muitas vantagens em usar uma solução non sp, mas expor todas as tabelas me deixa um pouco preocupado.

A questão é para os principais produtos de fornecedores de banco de dados em geral, mas especificamente, o SQL Server 2008.