Possiamo supporre che se un utente malintenzionato avesse accesso a un server Web con mysql in grado di leggere gli script per determinare la password mysql.
Se mysql risponde solo su localhost, ha davvero bisogno di una password complessa?
Certo, se ci fosse un exploit sul server che permettesse a un utente malintenzionato di caricare ed eseguire file PHP, potrebbe causare il caos nel database se non ci fosse una password sicura. Tuttavia potrebbero ancora usare quel file PHP per accedere agli script del server "reale", inviarli al client, quindi leggere la password in questo modo.
Non capisco davvero la necessità di una password mysql se risponde solo a localhost. Perché è importante?
Quando dico "no password" intendo lasciarlo come valore predefinito di "password" che è probabilmente la prima ipotesi per un utente malintenzionato