Bekanntlich steht das PW ja im PHP-Flie
Falls es gelingt einen MySQL Exploit bei Dir/Deinem Hoster anwenden zu können, wird das wohl das kleinste Problem sein.
Meist sind allerdings Bugs in diversen Programmen wie z.B. phpBB, Nuke, joomla, usw. verantwortlich dafür, das plötzlich die Startseite mit einem großen "hacked by .... " oder "rooted by..." usw. usf. verschönert ist. Hier z.B spielt "das bekannte PHP-File mit dem Passwort" ebenfalls keine Rolle. Das hat dann meist auch nichts damit zu tun, ob der MySQL Server auch von ausserhalb angesprochen werden kann.
ciao, Stefan