Eso es porque usa sprintf(), que se usa de esa forma.
Esto es equivalente
Código PHP:
$query = "SELECT * FROM usuarios WHERE usuario='".mysql_real_escape_string($usuario)."' AND password='".mysql_real_escape_string($password))."';
Aunque te recomiendo que la contraseña la guardes con el md5, es más seguro (no para tu aplicación, sino para tus usuarios).
Saludos.