Eso es porque mysql_connect usa algunos valores predeterminados cuando se conecta, que debería ser root para el nombre de usuario y la cadena en blanco para la contraseña si la recuerdo correctamente. Alternativamente, podría ser el nombre de usuario con el que se ejecuta el servidor web.
Esto podría significar que su servidor de base de datos acepta conexiones raíz sin contraseña (desde la máquina del servidor web), lo cual es bastante peligroso. Debe revisar la configuración de su base de datos y la lista de usuarios.
Desde el punto de vista de la seguridad, su código no es muy seguro, las credenciales de la base de datos se transmiten en texto no cifrado y, como regla general, los usuarios finales no deben ingresar las credenciales de la base de datos (a menos que esté escribiendo una herramienta similar a PhpMyAdmin).
