como dices iislas trata de usar procedimientos almacenados ya que se ejecutan en el servidor y no en el cliente ademas evitarias la Injeccion SQL que es lo que de repente estan utilizando para entrar y alterar tu web.

Ademas los Procedimientos Almacenados se ejecutan mas rapidos que realizar un transact en el cliente por el motivo que la sentencia ya esta definida en el procedimiento mientras que en cliente lo que sucede es que la transaccion recien se esta definiendo teniendo que pasar por una serie de puentes que realiza la aplicacion para conectarte a tu Base de Datos mientras que el procedimiento no es asi.