Ich persönlich würde eine REST-Lösung vorziehen. Dabei enthält der Server eine Reihe vordefinierter Routen und führt in keinem Fall irgendwelche SQL-Scripte, die vom Client kommen, aus. Auf diese Weise reißt man sich keine Sicherheitslücken auf und ist bei der Wahl des Clients flexibel, das kann später ein Webclient oder sonstwas sein. Das ist zwar erst einmal etwas Aufwand, später zahlt sich dieser aber aus. Die bereits genannten Frameworks (ich selbst bin bei DMVC gelandet) nehmen einem ja schon einen großen Teil der internen Implementierung ab, das ist also machbar.