maximing

Ошибка в общем программном коде и разные базы (или одна) - уже не важно.
Унесут все.

Простая защита - alias-ы:
ID-компании, логин1 и пароль1 (для кода/скриптов) => API (query-proxy) => DB-компании, host, логин2 и пароль2 (для базы)
На уровне API делаете централизованную проверку на "кривость" запросов и запускаете под другим пользователем, который кроме исполнения этого файла больше ничего не может.
Итого имеем: [web-server] => [query-proxy] => [db's]
Чтобы получить доступ к базе, нужно вначале получить доступ к просмотру информации в [query-proxy]. А это уже не так просто, особенно, если он в виде скомпилированного модуля.

SELECT @@MAX_CONNECTIONS AS 'Max Connections';

Погуглите sp_configure еще.

Но, как уже сказали выше, это не решит проблему, необходима прокладка. Хотя может дать время на ее разработку.

Очень плохая практика тяжелых монстров подключать к веб-морде напрямую. Это проблема создается разработчиком еще на этапе разработки архитектуры приложения.

Про монстров, я имею в виду mssql/oracle/ibmdb…

Исправить это сложно, особенно если не предусмотрено мест в коде для этого. Основное направление, ставьте что-то по проще, между веб-сервером и базой данных, основанное на document oriented db, какое-нибудь nosql решение (но и mysql+text indexing services поставить между вебом и oracle — тоже нормально), иногда достаточно решений вида 'просто кеш'.

Обязательно этот модуль на себя должен брать вопросы аутентификации и авторизации, да и вообоще вопросы безопасности по максимуму (сам участвовал когда то в решении, где логин пользователя веб был логином в БД oracle, страшно вспомнить, хотя права доступа БД были оттюнены и завернуто было все через пакеджи и вьюхи).