Que tal
jogegetafe, prueba así tu código, para limpiar y escapar caracteres especiales en tus variables te recomiendo
mysql_real_escape_string() Código PHP:
$mail = mysql_real_escape_string($_POST['email']);
$password = mysql_real_escape_string($_POST['password']);
$consulta1 = "select * from contactos where correo= '$mail' and contrasenia = '$password'";
$resultado1 = mysql_query($consulta1, $conexion) or die("Error en query $consulta1:".mysql_error());
if(mysql_num_rows($resultado1) != 0){
include ("todosLosProductos.html");
exit();
}else{
include ("index.php");
echo "<font color=\"#FF0000\" size=\"5\"><b>¡Nombre de usuario o contraseña incorrecta!</b></font><p>";
exit();
}
Saludos.