Евгений Стронг,
Если вы хотите ограничить возможность подключения к SQL Server, то вы можете это сделать. Если он на той же машине, что и ваш вебсайт (я подразумеваю, что это вебсайт или web api или что-то еще, не предполагающее прямого доступа пользователей к БД; если это не так, то у вас проблемы), то в сиквеле можно оставить только локальные подключения (ну или white list на файерволле определить, чтобы только вы, со статического ip либо через VPN, могли коннектиться на 1433).
В то же время, если ваш клиентский (да и серверный тоже, в общем-то) код пишется с той же степенью компетенции, с какой вы владеете русским языком, то есть шанс, что Мэллори сможет хакнуть ваше приложение и получить доступ к контексту той учетки, под которым оное приложение соединяется с БД. Тут... сложно что-то посоветовать. Например, можно запретить delete, оставив только логические удаления, типа:
1.
2.
3.
update t set IsDeleted = 1
from dbo.MyTable t
where t.Id = @Id;
Варианты действий во многом зависят от архитектуры приложения (клиент-сервер либо трехзвенка), а также от того, внутрикорпоративное это приложение, или же выставлено в публичный доступ в интернете.
