Ovviamente sai la risposta ora: sì. Tuttavia, è ancora più facile di quanto sembri. Come utente root è possibile ripristinare la password di root per un'installazione MySQL. Ho dovuto farlo prima: ho avuto una nuova installazione e ho dimenticato di registrare la password di root di MySQL. Ci sono voluti meno di 5 minuti per reimpostare la password di root in MySQL, e dopo averlo fatto ho avuto pieno accesso al database MySQL - non ha apportato modifiche a qualcosa in MySQL (tranne la password di root).
Naturalmente anche questo potrebbe non avere importanza. Se il server del database e il server delle applicazioni sono una macchina, un malintenzionato intelligente può semplicemente guardare la tua applicazione, vedere come si sta autenticando (in genere è semplice come leggere le credenziali dal codice sorgente o una configurazione dell'ambiente) e accedere in questo modo.
Sarebbe molto difficile trovare un modo per bloccare l'utente root da MySQL, e se si riuscisse a farlo probabilmente sarebbe più probabile fare del male a se stessi che a un utente malintenzionato. In generale, se un utente non autorizzato ottiene l'accesso come root al tuo server, sei praticamente bloccato.