Hola:

Creo que la tienes bien planteada.
Aunque soy partidario de que hagas una limpieza del usuario y la contraseña antes de meterla directamente en la sql y lanzarla contra la base de datos.
Simplemente es para evitar la inyección de código SQL por parte de usuarios malintencionados.

Se me ocurre algo asi (aunque no soy muy bueno)

Usuario: ' or true --

Si te menten algo así la consulta te va devolver todos los usuarios de la tabla. Por lo tanto tienes que evitar que metan caracteres diferentes a números y letras.

Y esto sin saber mucho de inyección de código. Que hay gente mu malita por ahí que sabe mucho de esto.

Espero que te sirva.

Saludos.

Filemute