la password crittala sempre
tipo $_POST['password']
$pass = md5($_POST['password'];

if ( $controllo[password] == "$_POST[password]" )
questo che hai scritto te non va bene per due motivi.. il primo che le chiavi che richiami con le [] devono essere sempre tra apici.. in modo da non fargli casini

l'sql injection lo fai tramite un form
però se tu fai in modo che i dati che ricevi tramite il form e che vanno a operare sul database non li metti nudi e crudi.. tipo anche trim o ancora meglio un'addslashes già dovresti evitare gli errori più banali.. (in ogni caso se sul server hai magic_quotes = on non dovresti avere questo problema)

seconda cosa.. perchè fargli fare un controllo al php quando il database è molto più veloce e performante