Det er fordi mysql_connect bruger nogle standardindstillinger ved tilslutning, som skal være root for brugernavnet og den tomme streng for adgangskoden, hvis jeg husker det rigtigt. Alternativt kunne det være det brugernavn, som webserveren kører under.
Dette kan betyde, at din db-server accepterer adgangskodeløse rodforbindelser (fra webservermaskinen), hvilket er ret farligt. Du bør gennemgå din databasekonfiguration og brugerliste.
Fra et sikkerhedssynspunkt er din kode ikke særlig sikker, db-legitimationsoplysninger overføres i klartekst, og som en tommelfingerregel bør db-legitimationsoplysninger ikke indtastes af slutbrugere (medmindre du skriver et PhpMyAdmin-lignende værktøj).