Das würde ich auch gern betonen. Es hieß ja hier nicht zu Unrecht mehrfach, dass damit (DB Lösung) die Rechteproblematik gut zu lösen ist. Das ist erstmal klar, die verschiedenen DB bringen je nach Mächtigkeit einen riesigen Berg an Rechteverwaltungs und Monitoring / Auditing Möglichkeiten mit und zwar implizit.
Würde heißen, selbst wenn ein User mit seinem Login direkt in die DB einsteigt, werden seine Zugriffe genauso gelogged wie von außen (es gibt aus DB Sicht einfach keinen Unterschied), ebenso gilt das für die "Sichtweite" des Users

Verwendet man nur einen DB User dazu, wäre das so ungefähr selbstgewähltes Eunuchentum.
Dass man diese Berechtigungsstruktur nicht erneut zwischen DB Modell und DB Dateisystem einzieht, dürfte mehr oder weniger klar sein.

Zuletzt: Das macht in dieser Form aber auch nur Sinn, wenn man halbwegs komfortabel mit 2-3 Stored Procs arbeiten kann.
Ansonsten bleibt via DB die stumpfe Datei-in-BLOB-Speichern Variante mit Plain SQL, die aber ohne Weiteres nicht sehr "browsig" für die GF da steht.