yo sigo pensando, que no se puede por que el nombre de usuario esta en el php y no hay forma de hacer inyeccion sql. ni dessvordamientos de variables.
eso solo fue un carril. si me equivoco.
que vevni de un ejemplo como se vulnera ese mismo codigo.