la funcion que controla el formato del email no se traga el sql injection, está bien hecha.
también puedo aplicar una capa intermedia que revise si la contraseña enviada sin codificar tenga el formato esperado, que es un alfanumerico.

if(ctype_alnum($passwordNoMD5)) return true;