使用WCF通过网络传递查询表达式

我想实现一些像WCF OData提供程序，但使用netttcpbinding而不是WebHttpBinding/REST。我希望客户端能够编写透明序列化并发送到服务器(或者可能是多个服务器，以合并分布式数据库实例)的linq查询。

其中一种方法是实现一个自定义的IQueryable提供者。可以(至少)以两种方式传递查询表达式:

1)将表达式序列化为xml，发送，并在服务器上反序列化

2)将原始SQL的前身以DataContracts

的形式传递给服务器

1很困难，而且工作量很大，而2显然会带来安全风险(sql注入)。例如，一个'Where'表达式被封装并像这样传递给服务器，

[DataContract]
public class WhereFilter
{
    [DataMember]
    public string Property { get; set; }
    [DataMember]
    public string Operation { get; set; }
    [DataMember]
    public string Value { get; set; }
}

上面的语句最终代表了SQL查询中"Where [SomeColumn] = 'SomeValue'"的部分。

我的问题是，WCF客户机-服务器连接是否足够安全，以保证这种方法不会带来太多的安全风险?或者，如果有任何其他方法可以通过netttcpbinding实现类似于odata的提供程序，我会很感兴趣。