Cualquier usuario de MySQL que posea permisos en el servidor de MySQL donde está la base, y con privilegios más o menos elevados puede, si quiere, cambiar el contenido de las tablas sin necesidad de usar la aplicación, si sabe suficiente de SQL.
¿Nunca has usado el phpMyAdmin o cualquier cosa semejante para revisar las tablas...? Cuando lo haces, estás pasando por encima de las restricciones de tu programa. Estás entrando directamente al corazón de la base de datos que usas.
Uno de los objetivos de una auditoria es precisamente supervisar ese tipo de cosas.

¿Crees que no puede pasar? El último que lo pensó perdió el trabajo cuando un hacker o un compañero de oficina, bastante bobo, le borró las tablas.