tiene pinta de ser sql injection , de hecho si en la aplicacion en el momento del login no validan ningun dato o mal validados , proveniente del formulario estos se inyectan en la consulta y se puede tener acceso en el momento del login , ademas de muchas otras cosas informacion de la bd , contraseñas etc....

ese es un tema que se resuelve validando correctamente los datos de entrada escapando y usando sentencias preparadas y procedimientos almacenados.

en este post ay mucha informacion sobre sql injection y proximamente hare un capitulo sobre ello