mmmm... si pues.. no me habia puesto a pensar eso.. pero hay una cosa.. si se debe quitar las comillas, entre otras cosas... ya que en la sentencia SQL no solo se puede entrar.. sino hacer que me muestren todos los usuarios y cosas asi.. si uno se pone a leer algun documento del SQL injection van a ver que te dicen muchas cosas que se pueden hacer.. x eso es bueno no dejar que el usuario ingrese lo que quiera