Lo que debes hacer es tener tu BD de la aplicación SIN tocar la de administración de MySQL.

Ahi creas tus tablas (usuarios, menúes y demás), cuando el usuario ingresa a la web, realizas la conexión a la BD de tu aplicación, ahi validas que exista. Sobre los privilegios, te aconsejo que vayas a la web de MySQL y te fijes como funciona los privilegios con GRANT. Te repito que yo no lo uso debido a que todo lo controlo en mi aplicación, el usuario y clave van en varibles internas dentro de la aplicación, NO trabajo con variables globales y utilizando sesiones. Esa es la ciencia. Dependiendo del usuario, llevo un control interno de lo que puede o no puede hacer. Además, como vas a llevar vos el control del menú personalizado por usuarios, no deberías tener problemas.

Si el usuario conoce el nombre de la BD y la estructura de las tablas, podría entran pero eso depende de qué tanto investigues sobre seguridad. Es un tema bastante amplio... Busca en la web seguridad en PHP, ASP o lo que uses para desarrollar y adicionalmente seguridad en BD Oracle, MySQL, Sybase, etc.