Giusto per capirci:
Codice PHP:
"SELECT * FROM utenti WHERE login = :login" 
Non è un 'istruzione sql valida (:login cos'è ?)

Con
Codice PHP:
$sth->execute(array(":login"=>$loginform)); 
Dici a PDO, di eseguire la query e di sostituire :login con $loginform, quindi se
$loginform = "boots"
La query eseguità diventerà:

Codice PHP:
"SELECT * FROM utenti WHERE login = 'boots'"