Da geb ich dir Recht. So Sachen kann man auf Clientseite lösen, muss man aber trotzdem nicht. Geschickt wäre es, eine Stored Procedure aufzurufen, welche die Daten in die Tabelle einfügt. In der Stored Procedure kannst du dann auch noch sämtliche Bedingung treffen (Aufträge bis 10.000e etc.) und gegebenfalls das Einfügen blockieren.

@Marcel: Dein vorschlag ist wohl der Einfachste, wenn man nicht absolute Sicherheit in der Datenbank anstrebt. Bei kritischen Daten (z.B. Personendaten mit Lohninformationen) ist dies jedoch nicht der beste Weg. So wie du es beschreibst nutze ich es selbst in einem Projekt (Rema, auch hier im Forum schon mal durchdiskutiert worden), aber eigentlich nur, weil ich MySQL als Server nutze, und aber auch aus Bequemlichkeit.

Prinzipiell gilt immer, wenn es wirklich um sensible Daten geht, sollte man die Sicherheit einem Datenbankserver überlassen. Ist aber nur meine Meinung.