让api（使用诸如sequelize迁移之类的orm）定义和修改数据库结构是一种良好的数据库安全实践吗？api数据库用户甚至应该有创建/修改表的权限吗？
如果黑客可以访问api用户数据库凭据怎么办？难道他就不能修改数据库结构从而销毁数据吗？
另外，如果任何开发人员错误地对表结构进行了更改，并且迁移以某种方式进入了生产阶段，该怎么办？有可能吗？