Estás confundido ..

Una cosa son los "usuarios" que tu motor de tu BBDD pueda gestionar que se refieren a las consultas a las Base de datos, tablas, etc que puedan hacer, con qué privilegios y demás.

Otra cosa son los "usuarios de tu aplicación" que no tienen nada que ver con los de tu base de datos.

Son tus scripts PHP los que se "conectan" a tu base de datos bajo un usuario. Normalmente un usuario que tenga los permisos suficientes para lo que tu aplicación tenga que hacer/operar con tu BBDD y nada más que eso. Si tu aplicación sólo actua sobre cierta Base de datos o tablas concretas, restringelo ahí .. Todo esto es "seguridad" que aportarías a tu aplicación.

Pero .. el tema de los usuarios de tu aplicación para la "autentificación" lo manejas en forma "virtual" por decirlo así .. tu tienes tu própia tabla personalizada en tu BBDD de usuarios .. su perfil .. su "roll" en la aplicación .. etc.

Un saludo,