Se tutto quello che stai passando è un semplice nome che identifica un database da utilizzare, quindi non riesco a vedere alcun problema immediato (a condizione che tu faccia qualche convalida sul lato server).
Cercherò di evitare l'uso di nomi che forniscono maggiori informazioni sul database del necessario (ad esempio indirizzi di server, informazioni di sistema o di versione, ecc.). In effetti, potrebbe essere preferibile utilizzare solo un ID numerico o qualcosa di simile per identificare i server. Mappalo agli attuali database sul tuo server, dove le probabilità che qualcuno veda queste informazioni è minore. Meno informazioni un cliente deve sapere, meglio è!
Inoltre, dovresti verificare il diritto di un utente di accedere a qualsiasi DB specificato. Se una richiesta da un client viene manipolata per tentare di accedere ad un DB diverso da quello che dovrebbe, allora la logica sul lato server dovrebbe cancellare la richiesta, o almeno verificare che l'utente sia effettivamente autorizzato ad accedere a questo altro database .