Si usas la funcion mysql_real_escape_string para tomar los datos del formulario (el nombre y la contraseña), y usas sprintf para hacer la consulta a la DB, entonces no deberias tener problemas de injection.

No comprendi mucho lo que quisiste decir, vos mencionas que siempre se aplique sprintf y mysql_real_escape string? O con solo hacerlo en el login es suficiente? Yo creo que lo tenes que hacer en todos los casos...

Saludos.