Di certo l'esempio che hai portato tu non è il massimo perchè innanzi tutto i dati di connessione al MySQL non li dà l'utente, ma li dai TU... Seconda cosa solitamente quando per esempio un utente effettua il Login, per un sistema più sicuro si utilizzano le sessioni ed inoltre molto spesso la variabile della Password è sempre criptata e non viene mai passata così com'è, sempre nel caso remoto in cui un hacker ti bucasse il sito...