Isso porque mysql_connect usa alguns padrões ao conectar que devem ser root para o nome de usuário e a string em branco para a senha, se eu me lembrar corretamente. Alternativamente, pode ser o nome de usuário sob o qual o servidor web é executado.

Isso pode significar que seu servidor db aceita conexões root sem senha (da máquina do servidor web), o que é bastante perigoso. Você deve revisar a configuração do banco de dados e a lista de usuários.

Do ponto de vista da segurança, seu código não é muito seguro, as credenciais do banco de dados são transmitidas em texto simples e, como regra geral, as credenciais do banco de dados não devem ser inseridas pelos usuários finais (a menos que você esteja escrevendo uma ferramenta do tipo PhpMyAdmin).