Asi es, nadie debiera trabajar con SA o con root, pues aunque no conozcan la estructura de tus tablas las pueden averiguar, por ejemplo en sql server existe una tabla que indica que base de datos hay en el servidor, otra que muestra las tablas de la bd. En mysql tiene una consulta especial que muestra las base de datos, otra que muestra las tablas de la bd, otra que describe los campos de la tabla y si usas para la conexion el usuario root o SA puede el atacante ejecutar todos esos comandos.
He visto siempre que pocos nos damos el trabajo de administrar la BD de manera de otorgar los permisos minimos a cada usuario para realizar su trabajo, y queremos que simplemente funcione