Meto ' como usuario y me sale una pantalla con un mensaje de error que muestra la consulta. Estas metiendo el valor recibido de user tal cual, eso es peligroso. Y ademas das mucha informacion al atacante.

No pareces tener un control de numero de intentos. No hay nada que evite que implemente un ataque de diccionario.