Yo una de las cosas que hago, cuando se trata sólo de entrar usuario y contraseña para hacer login, es convertir con md5 ($valor) los valores y compararlos con valores de la base de datos convertidos de la misma forma. Con esto te aseguras el estar protegido de las técnicas de inyección de SQL ya que una cadena md5 no es posible que se interprete de ninguna forma como un comando SQL.