El error esta en que envias el contenido de la variable que no has sanitizado. Saludos

//recibo las variables y las sanitizo con la funcin Securityu
$user = strtoupper(trim(Security($_POST["user_name"])));
$pass = trim(Security($_POST["password"])); // <--Esto estra sanitizado - OK
//$pwd=$_POST['password'];
//$pwd=hash('sha256', $pass);
$pwd=sha1($pass); // <--- esto NO ESTA sanitizado - Error!
//LO QUE HAGO AQUI ES ENVIAR LAS VARIABLES CACHADAS POR POST A MI
//FUNCION QUE "SANITIZA" LAS VARIABLES PARA EVITAR INYECCION DE CODIGO //SQL
verificar_login($user,$pwd); // <--Estas enviando el contenido de la variable que no esta sanitizada