Hab in PHP noch nie nen Webservice geschrieben, aber theoretisch sollte doch der komplette SOAP Teil eigentlich gekapselt sein, so dass es IMHO weniger Arbeit macht als ein eigenes Protokoll.

Egal wie du es machst solltest du entweder die Queries auf der Serverseite haben, oder alle auf SQL Injection prüfen vor dem Ausführen. Damit dir keiner ein "drop database" schicken kann