Sobre el tema de SQL yo siempre uso un DBO para trabajar internamente, cambiar datos, estructura, tablas, etc...
Pero en cuanto a la web el usuario está limitado a solo db_datareader y db_datawriter de esa forma no tiene permisos para ejecutar procedimientos almacenados.
Dentro de la web me surgio un problema en algun modulo que usaba procedimientos almacenados, he optado por cambiar el codigo y reconstruir ese proceso para ejecutarlo por ajax contra un asp oculto que no hay forma de localizar en un posible ataque y alli mando que proced. necesito ejecutar.

Sobre el apartado de tienes claro (el filtro) recuerda que lo más importante es que esté siempre antes de procesar cualquier otra linea de la web, asi evitas hacer un open si viene codigo maligno.