Sí. Estas cuentas le permiten limitar la cantidad de daños que puede hacer una vulnerabilidad de la aplicación que permite el acceso de shell.
Consideremos las cosas que quizás desee proteger de forma proactiva:
- Archivos estáticos que se sirven con privilegios del mismo origen como JavaScript. Estas cuentas no deben poder ser escritas por ninguna cuenta de la aplicación ya que solo necesitan ser leídas y solo por la cuenta de usuario para la aplicación en particular que las sirve.
- Archivos de registro. Estos deben ser escritos por una sola cuenta de la aplicación, pero no leídos.
- Archivos de configuración y scripts. Algunos pueden compartirse, pero no deben poder escribirse en ninguna cuenta de la aplicación y, a menos que tenga una buena razón, haga que los archivos de configuración de cada aplicación sean legibles para ese usuario de la aplicación.
Si sus usuarios están vinculados a los privilegios de la base de datos, las tablas por aplicación solo deben ser modificables por el usuario de esa aplicación, y la autoridad de cambio de esquema debe estar reservada a los administradores.