Para lo de la inyección sql debes usar preg_match() o alguna función similar combinado con una buena o varias expresiones regulares, dependiendo de los valores que permitas en ele nombre de usuario y contraseña, para filtrar el contenido de la variable antes de pasarla a la consulta sql.

Puedes buscar "sql injection regexp php" sin las comillas, en algun buscador y seguro que encuentrarás mucha información y scripts útiles.