Hola,

PHP_AUTH_USER solo esta disponible si haces autentificacion por HTTP y solo funciona con PHP como modulo de Apache. La autentificacion por HTTP es la misma que puedes hacer con el .htaccess de Apache. Es cuando te sale ese cuadro de dialogo gris pidiendote un usuario y una contraseña.

SQL injections es cuando alguien escribe en el campo de usuario o de contraseña una cadena que puede "saltar" la comprobacion de tu consulta. Por ejemplo, si yo en usuario meto:

' OR '1'='1

en tu codigo al sustituir la variable por su valor la consulta que se ejecutaria seria

select * from tusuarios where usuario=' ' OR '1'='1' , contra=...

que no es la consulta que querias ejecutar.

Saludos.