Im Gegenteil: Die Datenbank für Verbindungen von außen freigeben ist der Pfusch-Ansatz, der erhebliche Risiken birgt, da er potentiell die komplette Datenbank nach außen freigibt.
Im Normalfall lauscht der MySQL-Server nur auf dem Loopback Interface, sodass du mit ODBC von außen mal schön sterben gehen kannst, außer du änderst die Config des Servers.
Wenn man nur das Formular - natürlich im Produktiveinsatz mit einem Passwort versehen - nutzt, kann ein Angreifer maximal diese eine Tabelle vollspammen, zu der das PHP-Script das Interface darstellt, mehr Macht hat er damit über die DB jedoch nicht.