Das sehe ich genau andersherum.

Einen WebService kannst du ziemlich gut absichern - du gibst dort nur die Infos raus die der authentifizierte Anwender sehen darf. Die ganze Autorisierung befindet sich also im Server.

Einen direkten Zugriff auf die Datenbank kann ich in der Regel nur über Klimmzüge in der Datenbank selbst (meist Zugriff auf einzelne Tabellen erlauben / verbieten) absichern, aber nicht in irgendeiner Form von Businesslogik.
Hänge ich mich dann mit dem Debugger in die App kann ich meist Benutzername und Passwort aus dem Speicher auslesen und habe dann oft Zugriff auf die gesamte Datenbank.

Oder habe ich dein Argument falsch verstanden?