En parte tienes razón, incluso a mi me cayó mal cuando leí el post y me llamó la atención la verdad (como si fuese tan facil explotar un bug), pero debes tener en cuenta que no pasa por no "tener experiencia en php" sino de poner a prueba un sistema de login con datos "comunes", entiendes? sea el lenguaje que sea. Supongo que por eso dio un poco de risa.

Hay que tomarlo simplemente como un descuido. Igual te digo que todo sistema estará "seguro" siempre y cuando sepas controlar los datos enviados, especificar de que manera lo recibes (get o post), de ahi comprobar el tipo de dato (string, númerico, etc..) y recien la consulta SQL teniendo en cuenta los "escapes" para ciertos signos raros (inyección sql).

Suerte.