Cuando se inicia sesión, siempre se utilizan comparaciones lógicas para revisar la existencia del usuario. El riesgo de inyección es precisamente en esa comparación. Cuando alguien pasa una consulta al servidor con una comparación lógica que pone a "dudar" al servidor es cuando todo queda expuesto.

Aquí puedes ver las consultas preparadas en mysql_stmt y un ejemplo de inyección SQL:

http://www.jveweb.net/archivo/2011/07/sentencias-preparadas-de-mysql-en-php-ejemplos-estructurados.html

http://www.jveweb.net/archivo/2011/07/un-ataque-de-inyeccion-de-sql.html

Por eso para protegerse de inyección SQL, no sólo basta con proteger las consultas, sino accediendo por medio de un usuario creado en el servidor MySQL que tenga privilegios restringidos (o sea, diferente al root) y sin la opción grant; además se debe restringir el acceso exclusivamente a la base de datos que se necesita acceder, entre otras medidas de seguridad