El problema del SQL injection ya se arreglo... o aki en el foro o por algun otro sitio, ya no me acuerdo.
Código PHP:
$user = mysql_real_escape_string($_POST['user']);
me parece q era este el cambio.... disculpa sino es todo lo q se tenia q cambiar
saludos