Sólo un comentario:
Procura eliminar caracteres o cadenas maliciosas, sobre todo cuando se trata de hacer un login, de lo contrario, con esa forma de consultar a la base de datos das paso libre a inyecciones sql, que es una forma de que alguien te meta instrucciones sql y tome el control de tu sistema.

Otra recomendación es además que encriptes o hagas un hash de las contraseñas para no guardarlas así como están.