Je to proto, že mysql_connect používá při připojování některé výchozí hodnoty, které by měly být root pro uživatelské jméno a prázdný řetězec pro heslo, pokud si ho dobře pamatuji. Alternativně to může být uživatelské jméno, pod kterým webový server běží.
To by mohlo znamenat, že váš db server přijímá root připojení bez hesla (ze stroje webserveru), což je docela nebezpečné. Měli byste zkontrolovat konfiguraci databáze a seznam uživatelů.
Z bezpečnostního hlediska není váš kód příliš bezpečný, přihlašovací údaje db jsou přenášeny v čistém textu a zpravidla by přihlašovací údaje db neměli zadávat koncoví uživatelé (pokud nepíšete nástroj podobný PhpMyAdmin).