Ho letto qualcosa in merito (in italiano, l'inglese è un p0' ostico) ed ho fatto varie prove, inserendo diverse stringhe (ad esempio gli apici, clausole OR) nel campo password, ma pare che tutto funzioni bene, in quanto mi dice sempre che l'utente non è registrato.

Per quanto riguarda quello che ho scritto prima, sono giusti i concetti sulla sicurezza del codice php che ho postato?