La verdad me sorprende que aún se ponga a prueba un sistema con datos tipicos de acceso (me recuerda el password de 123456), aunque por mi cabeza jamás se me paso probar de esa manera, por el simple hecho de que ya era "historia" xD. En ese caso la inyección SQL no es necesario jaja.

Como dice aldo1982, una vez cambies los datos de acceso.. utiliza funciones como "mysql_real_escape_string()" para evitar futuros ataques.

Saludos