Al livello più elementare, il server di database non dovrebbe essere aperto a Internet pubblico. Se si desidera che gli utenti casuali che eseguono un'applet Java accedano direttamente al database, ciò implica che il database sia configurato per accettare connessioni da chiunque su Internet. In questo caso, un utente malintenzionato può attaccare il tuo database a suo piacimento senza preoccuparsi di penetrare prima in un firewall o accedere alla rete interna.
Poiché l'applet Java viene eseguita sul computer client, ciò significa che è abbastanza facile per un utente malintenzionato vedere esattamente cosa sta facendo l'applet in modo che possa facilmente estrarre il nome utente e la password per il database. Poiché abbiamo già stabilito che il server di database deve essere aperto su Internet affinché l'applet funzioni, ciò significa che un utente malintenzionato ha un nome utente e una password che possono utilizzare da qualsiasi strumento che desiderano. Così ora l'attaccante può fare qualsiasi cosa l'account del database che l'applet può utilizzare (ignorando qualsiasi sicurezza nell'applet) ma può anche cercare attacchi che consentano loro di aumentare i propri privilegi.