DmitryTyumНужна двухступенчатая авторизация. То есть по введённым пользователем имени и паролю отправляю запрос в базу, она возвращает имя и пароль доступа к себе, с этими данными соединяюсь с этой базой, если соединение прошло удачно - авторизация пройдена.это какой травки надо накурить?

DmitryTyum,

есть метод взлома, так вот от него твоя защита не сработает.
его название - терморектальный.
DmitryTyumПоэтому до момента логина нельзя сказать с какими данными он будет работать.
сделай веб приложение- и до момента логина пароля у клиента вообще ничего не будет, а после логина/пароля - только то что разрешено данному логину. и что там с базой - ни клиент , ни разработчик клиента знать не будет.

DmitryTyumЛогин-пароль пользователя не соответствует логину-паролю базы.а я и не утверждаю этого. у меня один логин пароль к базе. который только устанавливается на пул коннектов.
ты этот пароль можешь серверным приложением при запуске приложения считать с флэшки и всё.
и если юзеру с ограниченными правами можно иметь доступ только к определённым данным - он эти данные получит как результат работы хранимки. и разработчик серверного приложения даже структуры базы не сможет узнать - только имена хранимок +параметры, а что это даст?

DmitryTyumСоединиться с базой с логином и паролем с "флешки" и доступом к хранимке-криптографу, передать хранимке имя и пароль пользователя, получить ответ и если ответ удовлетворяет условиям, то авторизация успешная.полная каша.
к базе подключается пул, через который и происходит работа с базой. для пула и есть пароль/логин к базе.
хранимка ничего не криптует. просто к коду хранимки у юзера нет доступа , этот доступ даётся разработчику базы. есть одна "общая хранимка" которая принимает имя, пароль, страница запрашиваемая юзером и на выходе - если юзеру разрешено с этой страницей работать - ок, если нет фигфам. соответственно когда серверное приложение обрабвтывает данную страницу, в обработчике страницы - есть обращения к базе через хранимки.
если юзеру разрешено работать со страницей- значит разрешено работать с хранимками, которые использует данная страница. ничего шифровать не нужно - никто не узнает ничего кроме как то что может вернуть хранимка. хранимки защищают на 100% от инъекций (если разработчик хранимок сам специально не сделает дыру)

DmitryTyum,
чем хорош веб - у юзера только то что ему можно, и с одной машины могут разные заходить , если десктоп - нужно несколько приложений, либо все в одном, что позволит деассемблировать и много что понять.