Ini akan sangat tergantung pada model keamanan server Web dan DB Anda (yaitu, perangkat lunak), serta tingkat firewall / kontrol akses / IDP yang Anda akan terapkan pada keduanya jika mereka berada di server yang terpisah.
Semuanya sama, mungkin masalahnya lebih baik memisahkan keduanya. Namun, praktisnya, setidaknya di lingkungan LAMP, selama Anda menggunakan privsep Apache (jika Anda tidak yakin, jangan khawatir, Anda) dan tidak menggunakan login root ke MySQL di webapp Anda, dan Anda tidak memiliki tcp / 3306 terkena dunia luar, Anda tidak benar-benar mendapatkan banyak keamanan dengan memindahkan satu atau yang lain ke sepotong silikon yang berbeda. Anda mendapatkan manfaat kinerja dan kemampuan debug.
Pertanyaan Anda dalam gaya yang tampaknya membutuhkan jawaban absolut, tetapi tanpa informasi lebih lanjut (minimal, OS apa dan server web / DB yang sedang kita bicarakan), bahkan sulit untuk memberikan jawaban yang informatif.