o2o项目中,管理员，商户，终端用户应该分开建表还是合并呢

虽然以上3个都可以建在一张表，好处是登陆的时候只验证一张表
坏处是对于攻击缺乏安全性，第一能想到的就是sql注入，所以打算把管理员和终端用户分开，
但是如果把商户和终端用户分开，那似乎又太繁琐，如果不分开，商户信息和终端用户信息有很多的不同，比如商户有地址，经理名，营业证书号等等，个人有年龄，兴趣爱好，等等。他们唯一相同的字段只有登陆用户可以抽取出来。合并会造成表的臃肿。
所以。商户和用户，有必要合并通过权限控制吗？