Ok, quello che intendevo dire è questo:

Invii la password, in modo sicuro o insicuro... la ricevi dall'altro lato (niente a che vedere con sql ancora), ne calcoli un hash (il più famoso ed usato, md5), confronti questo hash (che non ha caratteri di escape, essendo [0..9-a..e]) con la password in hash nel database (non si salvano password chiaro o criptate, a meno che la tua funzione di recupero password non preveda il recupero della vecchia password, quanto pittutosto il reset con nuovo valore): la query quindi non avrà caratteri di escape.