Ciao a tutti

vorrei un consiglio per quanto riguarda la sicurezza.

Il sito è costruito con Php e MySql ed ora gira, ahimè, sul IIS di Windows 2000 server.
Ora c'è anche Phpmyadmin con password, ma mi sa che lo tolgo...mi sento più sicuro!!

Come posso proteggere il db? Premetto che MySql l'ho installato con l'utente di default (root) ed ho inserito una password.
I dati di connessione (host, user, password) li ho infilati in un file .php che includo nei file .php ogni qual volta servano (quasi sempre!! )

Mi conviene creare un'ulteriore utente per MySql oppure va bene root con password?

grazie