No nível mais básico, o servidor de banco de dados não deve ser aberto à Internet pública. Se você deseja que usuários aleatórios que executam um applet Java acessem o banco de dados diretamente, isso significa que o banco de dados está configurado para aceitar conexões de qualquer pessoa na Internet. Se esse for o caso, um invasor pode atacar seu banco de dados sem se preocupar com a invasão inicial de um firewall ou com o acesso à rede interna.
Como o applet Java é executado na máquina cliente, isso significa que é fácil para um invasor ver exatamente o que o applet está fazendo, para que ele possa extrair facilmente o nome de usuário e a senha do banco de dados. Como já estabelecemos que o servidor de banco de dados precisa estar aberto à Internet para que o applet funcione, isso significa que um invasor tem um nome de usuário e uma senha que podem usar de qualquer ferramenta que desejarem. Portanto, agora o invasor pode fazer qualquer coisa que a conta do banco de dados que o seu applet usa pode fazer (ignorando qualquer segurança no seu applet), mas eles também podem procurar por ataques que permitam escalar seus privilégios.