My 2 cent...
Il database tienilo nella directory di default di mysql.
Se il computer è utilizzato da alti o altri ne hanno accesso semplicemente cripta i dati sensibili nel database, ti risparmierai molte rogne.
Mettere i file proprietari dell'utente nella sua directory user è un ottima idea se non fosse che ai database deve accederci MYsql, a cui comunque dovrai dare i permessi di accesso ....e che quindi potrà vedere chiunque acceda al PC.
L'unica sarebbe seguire il programma con l'utenza in uso, ma dovresti configurare correttamente APACHE per PHP e MYSQL ... ed rischi molti problemi il giorno che devi spostare qualcosa..