Pues es mas o menos simple: Todo lo que tenga relación directa con la aplicación que tu mismo desarrollas es tema tuyo, incluyendo la vulnerabilidad de la base de datos para lo que se refiera a consultas.
El servicio de hosting, por su lado, es responsable de todo lo relacionado al WebServer y su protección, así como el servidor de MySQL para todo acceso no autorizado expresamente u originado en puntos de conexión que no pertenezcan a los clientes.
Esto último implica, entre otras cosas, que deben asegurar la autenticación de origen de las conexiones entrantes.
¿Se va entendiendo?

Las áreas de SI (Seguridad Informática) son de las más difíciles, y exigentes de todo sistema de hosting. Generalmente están atendidas por paranoicos que a cualquier cosa que le pides te responden "NO".
Y tienen razón...