Det beror på att mysql_connect använder vissa standardinställningar när man ansluter som ska vara root
för användarnamnet och den tomma strängen för lösenordet om jag kommer ihåg det rätt. Alternativt kan det vara användarnamnet som webbservern körs under.
Detta kan innebära att din db-server accepterar lösenordslösa rotanslutningar (från webbservermaskinen), vilket är ganska farligt. Du bör granska din databaskonfiguration och användarlista.
Ur säkerhetssynpunkt är din kod inte särskilt säker, db-referenser överförs i klartext, och som en tumregel bör db-referenser inte anges av slutanvändare (såvida du inte skriver ett PhpMyAdmin-liknande verktyg).