Valida el largo de los datos de entrada, dale un límite máximo. En el nombre de usuario haz un límite en cuanto a los caracteres que se pueden usar. Obviamente la contraseña no puede tener esas restricciones, así que la única seguridad allí será la longitud de la cadena y el uo de mysql_real_escape_string(). Cualquier otra cosa, como htmlentities(), va a complicar la comparación de contraseñas.

:sdios: