No, no, no, no, no e no. Questo è completamente, completamente al 100% insicuro. Non c'è ripararlo. È rotto. Non solo l'IP del server SQL sarà facilmente rilevabile (e non è possibile evitare che venga scoperto in modo relativamente banale dal momento che tutte le informazioni necessarie per connettersi sono contenute nell'applicazione stessa), ma ti lascia completamente aperto alle iniezioni e alla manipolazione lungo la strada pure.
Il modo corretto per gestire qualcosa di simile è configurare un servizio Web pubblico che verrà eseguito in cima all'istanza del server SQL e campo richieste valide per l'applicazione. Il servizio Web si prenderà cura della sterilizzazione e della convalida di quell'input è un caso di utilizzo legittimo che potrebbe provenire dall'applicazione, generare la richiesta SQL appropriata o, preferibilmente, memorizzata della procedura e quindi restituire i dati all'applicazione.
Con qualsiasi sistema di tipo server, non dovresti MAI fidarti del client. Potrebbero esserci eccezioni molto rare se si dispone di un controllo rigoroso sul client, ma anche in questo caso dovrebbe essere evitato se possibile.