a ver, normalmente en una aplicacion solo se le da acceso a un usuario con privilegios de lectura/escritura dependiendo del caso(usuario de sql server) y de que es factible que te hagan un select *, pues depende de como ingrese los datos a la base :P para saber mas investiga sobre "sql inyection" o "inyeccion sql"