si colocas esto en tu login
en usuario Pegaso y en contraseña ' OR ''='
veras de lo que hablo te pongo (IGUAL TE LOGUEA)
ejemplo de la seguridad de tu select
Código PHP:
Ver original$checkusere = sprintf("SELECT username FROM users WHERE username= '%s' mysql_real_escape_string($conexion,$_POST['user']),
mysql_real_escape_string($conexion,$_POST['pass']));
$result = mysql_query($checkusere);
$username_exist = mysqli_num_rows($result);
y continuas con el resto de tu codigo.
me cuentas