Questo perché mysql_connect utilizza alcune impostazioni predefinite durante la connessione che dovrebbero essere root
per il nome utente e la stringa vuota per la password se la ricordo correttamente. In alternativa potrebbe essere il nome utente con cui viene eseguito il server web.
Ciò potrebbe significare che il tuo server db accetta connessioni root senza password (dalla macchina del server web), il che è piuttosto pericoloso. Dovresti rivedere la configurazione del database e l'elenco degli utenti.
Dal punto di vista della sicurezza il tuo codice non è molto sicuro, le credenziali db vengono trasmesse in chiaro e, come regola generale, le credenziali db non devono essere inserite dagli utenti finali (a meno che tu non stia scrivendo uno strumento simile a PhpMyAdmin).