mysql_connect("localhost","root","");

Das war jetzt nicht Dein Ernst - oder?

Ich meine, dass der root sich anmeldet.
Ich meine auch, dass der root sich mit leerem Passwort anmeldet.

Das sieht nicht nur gefährlich aus, das ist es auch. Denn root kann z.B. mit select into outfile auch Dateien auf dem System erzeugen: Ein besch... Fehler (nicht abgefangene SQL-Injection, bei Deinem Wissenstand mehr wahrscheinlich als unwahrscheinlich) und das gesamte System gehört jemand anderem.

Jörg Reinholz