Generalmente, quello che si fa e':
l'applicaziond si autentica verso il db con un'utenza specifica associata all'applicazione ed all'istanza di database a cui vuole accedere.
L'applicazione non si autentica con un'utenza che dipende dall'utente, proprio per i motivi di limitazione di sicurezza.
L'applicaziobe registra in opportune tabelle a suo esclusivo utilizzo, gli utenti che si sono registrati ed i permessi che ogni utente possiede.
La stessa applicazione si fa carico di controllare i permessi e le operazioni che ogni utente puo' fare, e magari gestisce anche un log, i modo da sapere sempre quando e che cosa un utente ha fatto.
Ogni altra soluzione, come quella che stai tentando di implementare, presenta significativi problemi di sicurezza non facilmente evitabili.
Comunque, generalmente un utente puo' cambiare la sua password, ma non deve poter cambiare l'utenza, proprio perche' l'utenza lo identifica univocamente.
Ricorda che la regola base e' sempre la seguente: un utente potra' fare tutto quello che i suoi diritti gli permetteranno di fare. Se ha accesso al db mysql, potrebbe anche cancellare tutte le tabelle di sistema o tutti gli utenti!!
Non e' detto che vanga fatto prr dolo, magari semplicemente per errore