Efectivamente es una falencia (lastimosamente por mi culpa) ya que el si notan en el codigo del MODELO (conexion con la base de datos) las primeras verificaciones lo hago utilizando ActiveRecord (jamas creo manualmente una consulta SQL), pero es en la funcion checkPass donde yo armo una consulta manualmente por el impedimiento de utilizar funciones como md5() dentro del ActiveRecord....

Eso lo soluciono con un addslashes... creo que es cierto que da mucha informacion al atacante, pero todavia no se puede entrar... Ya lo solucione localmente voy a subirlo nuevamente en breve para seguir testeandolo... y tendre qe implementar los intentos de contraseñas erroneas...