Não tenho certeza de qual é a sua pergunta atual, mas se é por isso que o usuário ainda pode ver tudo, é porque essas doações são aditivas.
Você precisa remover a concessão que não deseja (a primeira) e incluir a segunda.
i.e. remover
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, CREATE TEMPORARY TABLES ON *.* TO 'user'@'localhost' IDENTIFIED BY PASSWORD 'ENCRYPTED'
e mantenha,
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE ON 'database'.* TO 'user'@'localhost' WITH GRANT OPTION
Tente,
REVOKE SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, CREATE TEMPORARY TABLES ON *.* FROM 'user'@'localhost'