Por mi parte sólo defino usuarios por "aplicación". Es decir .. una aplicación común a lo máximo sobre una BD puede crear registros, actualizarlos, borrar registros y poco más .. pero no puede tal vez ni crear tablas .. ni mucho menos crear usuarios para la BD.

Por ende .. defino un usuario de esas características de permisos y dejo el resto de "gerarquía" de permisos a la aplicación (a los usuarios de la aplicación) que es en definitiva la que "lanza" los scripts PHP que van a conectarse a la BD.

En resumen .. su tu aplicación "falla" (en seguridad) .. van a tener el control sobre esos N usuarios (hasta el que más permisos tenga al menos). Yo realmente no me complico en ese aspecto . .eso sí .. no uso un "root" sin contraseña para la aplicación de turno sino uno con los permisos justos a lo que haga mi aplicación.

Sólo algunas aplicaciones tipo "phpMyadmin" tendrán ese tipo de usuarios como "root" pero es que eso son "Administradores" de tu BD (GUI).

Un saludo,