Ti suggerisco di iniziare leggendo il manuale ufficiale:

http://www.php.net/manual/it/securit...-injection.php

Per quanto riguarda la query:

Codice PHP:
$query="SELECT username,password FROM registration ".
        "WHERE username = '"$_POST['username']."' ".
        "AND password = '"$_POST['password']."'"