Como ya han dicho otros usuarios, cifrar toda la base de datos probablemente sea una exageración, lo que significa que perdería demasiado rendimiento y obtendría poca seguridad adicional, ya que cifraría campos que no es necesario cifrar.
Piénsalo de esta manera: imagina que un atacante ha logrado acceder a todos los datos de tu base de datos gracias a una inyección de SQL. ¿Qué información no debería ver el atacante y qué información no es tan importante, lo que significa que incluso si pudiera leerla, no podría hacer nada con ella? Un ejemplo del primer tipo serían las contraseñas de los usuarios, y uno de los muchos ejemplos del segundo tipo podría ser el color favorito del usuario, si por alguna razón necesita almacenar esta información en la base de datos: D
Por lo tanto, cifrar toda la base de datos no vale la pena ni el tiempo ni la pérdida de rendimiento, pero hay algunos campos que es absolutamente necesario que estén cifrados (contraseñas, números de tarjetas de crédito, SSN, identificadores de sesión y también puede agregar información personal del usuario a esta lista, como números de teléfono, etc., sus usuarios estarían agradecidos por esto :)).
No olvide que si el atacante tiene acceso a su base de datos, podría obtener acceso a toda la información que contiene, incluso si algunos campos han sido cifrados, solo necesita más tiempo para hacerlo. Y si tiene información muy importante en su base de datos, este tiempo adicional es extremadamente importante.
Y, finalmente, una sugerencia: invertir tiempo en la prevención de ataques de inyección SQL. Esta es probablemente la técnica más utilizada con la que un atacante puede tener acceso ilegítimo a su base de datos.