Ese es un claro ejemplo, de los que verás cuando busques como evitar sql injection, prueba a poner en nombre de usuario ' AND 1=1'

La mejor forma de evitarlo es hacer procedimientos almacenados, y llamarlos pasando los parámetros, es la más sencilla de hacer, y la que menos cambio provoca en tu código