stai molto attento che quando un utente si logga può essere anche un hacker che può fare una bella SQL iniection!!! in pratica una query SQL che eprmette tranquillamente all'hacker di entrare magari come administrator immettendo caratteri come ' (apostrofo); per cui fai un controllo delle stringhe immesse come user e password ed emetti un messaggio di errore se c'è ad esempio questo carattere. Per il resto vai a cercare su goggle maggiori info su 'SQL injection'