Jak poznamenal @Perception. Nejlepším řešením je implementovat webovou službu před MySQL. Nechcete, aby měl neznámý počet klientů z neznámých IP adres přístup k vaší databázi.
Bylo by opravdu snadné na vás zaútočit DOS tím, že byste svázali připojení MySQL. Nemluvě o tom, že byste velmi vážně omezili svou schopnost škálovat vaši backendovou službu tak, aby splňovala požadavky větší klientské základny, aniž byste mezi tím měli webovou službu.
Webová služba by vám také mohla nabídnout možnost řídit autentizaci a autorizaci uživatele mnoha způsoby (kombinace uživatel/průchod, přístup na základě tokenů, přístup OAuth atd.).