Non credo che ti manchi qualcosa di semplice. Il server in questione può connettersi al database senza il tuo aiuto, nel qual caso ha avere le credenziali; o non può connettersi senza che tu li fornisca. Puoi eseguire vari passaggi come quelli che hai elencato per renderlo più difficile affinché un server compromesso riveli le credenziali al database, ma alla fine della giornata, se deve disporre di tali credenziali e fornirle al server DB per connettersi, dovranno essere archiviate su di esso da qualche parte o in almeno, dovrà avere dei mezzi per ottenerli, e quindi sarà hackerabile in questo senso.
La soluzione migliore è concentrarsi sulla scoperta delle intrusioni (server compromessi) il più rapidamente possibile, mantenendo buoni backup off-site e off-line per il caso peggiore, ponendo molte barriere all'intrusione in primo luogo, ecc.
