The website's functionality is secure and does not allow arbitrary queries to be run against the database.
However, let's say someone gains unauthorized access to the username and password of the MySQL database (i.e. those used in the database URI).
Non sei sicuro se questo è quello che stai insinuando, ma non è sufficiente che le funzionalità del sito web siano sicure - anche l'intero server che esegue il database MySQL deve essere sicuro. Il tuo sito web può essere impermeabile come preferisce, ma, per fare il caso estremo, se il database MySQL di backend è in esecuzione su un IP accessibile pubblicamente, e ascoltando le richieste a livello globale, quel nome utente e password ti permetteranno di collegarti ad esso esegui tutte le query arbitrarie che ti piacciono.
Ignorando quanto sopra, altri aspetti come la riusabilità della password e l'ipotesi che tutto sia "completamente" protetto e bloccato, allora sì, quelle credenziali non sono di alcun uso specifico. Come praticamente ogni strategia in questo settore, tenerli segreti è aggiungere un livello di sicurezza se si dovessero trovare vulnerabilità che renderebbero tali credenziali utili.
In pratica, bloccare quelle credenziali dovrebbe essere piuttosto facile. Quindi, se un attaccante ha messo le mani su di loro in primo luogo, l'implicazione è che il tuo setup è sicuramente non sicuro, e probabilmente c'è tutta una serie di altre vulnerabilità ancora da scoprire.