pues algo raro tienes, porque a mi sí me vulnera la seguridad si lo hago tal y como te indico.

si te dice que el usuario o la contraseña son incorrectos es porque el $select no contiene nada y si no contiene nada es porque el mysql_query no devuelve nada por lo que salta al die(), función que no devuelve nada.

por lo tanto en tu programa hay algo raro. tal vez en la bd, o tal vez a la hora de enviar los datos a la consulta.

en una consulta SQL el injection se puede hacer así en tu caso, de hecho lo he probado en una consuta mía siguiendo las mismas pautas de comillas para poder hacerlo y sí lo vulnera.

luego está el asunto de qué es $errores, porque si estás limpiando el código antes de la consulta entonces no lo has dicho...

no es problema de poder hacer sql injection en tu código, es problema de que tal vez no se pueda porque estés haciendo algo previo que lo impida o algo en el proceso que impida hacer sql injection, como llevar mal los datos a la consulta (usuario no existente, datos mal insertados, ...) o columnas de la tabla que no existen.

comienza haciendo una consulta sencilla y vas incrementando la complejidad de la consulta y del sql injection a la vez, ahí no tendrás problemas para comprobar lo que deseas obtener.

saludos.