Еще одна веская причина, которая не была указана в списке, заключается в том, что имена пользователей и пароли MySQL хранятся в виде открытого текста в файлах конфигурации. Возможно, в вашем коде есть уязвимость, которая позволяет пользователю читать текстовый файл, который затем предоставит немедленный доступ хакеру без необходимости взлома хэша пароля. Удаленная доступность вашей базы данных представляет собой серьезную угрозу безопасности и запрещена PCI-DSS.
Другая веская причина в том, что для добавления новых учетных записей или изменения пароля вашему веб-приложению потребуется доступ ROOT, что является одним из худших действий, которые вы могли бы сделать. Во многих базах данных (включая mysql) это позволяет хакеру легко превратить уязвимость SQL-инъекций в полное удаленное выполнение кода (например, загрузку файла .php).