Si no entra creo que debe ser por eso:
if ($client['password'] == $password || $client['password'] == $passwordNoMD5){
return true;

En en caso que alguna contraseña de cualquier usuario coincidiera, sería un problema.
Pero sería muy complicado, no? Estando codificado en sha1


Edito: ahora si que me accede al usuario usando como contraseña:
' or '1'='1 Usando mysql_real_escape_string se soluciona el problema