http://code.google.com/apis/gears/security.html

Database Security
Best Practice:: Avoid SQL injection attacks. Never insert user input directly into a SQL statement. Instead, use substitution parameters in Database.execute().

ユーザの入力をダイレクトにSQLに入れるな、SQLインジェクション攻撃食らうよ、と書いてある。

ぱっと見たところなるほどね、ってなるけど、よく考えたら攻撃するのはそのユーザ自身が持ってるローカルデータベースでしょ、もともと自由自在じゃんって思うのだけどなあ。サーバとのデータ同期がバックグラウンドで自動的に行われるから？いまいちデータ同期のところはどうやってるのかよくわかってない。