a lo que se refier Al es a que uno de los pasos en SQL Injection es saber el nombre de un usuario.
imaginate que hay algun administrador tan "listo" que se pone de nombre de usuario "admin". y un hacker mete admin en la caja de texto de usuario. y el programa le devuelve "contraseña inválida"....

ese hacker ya tendría la mitad del trabajo hecho...