Hola

Primero trata de tener 3 input de entrada :login, password y algun codigo del usuario conocido por el(Pasaporte, cedula de identidad etc).

Segundo cada input valida en texto ingresado No aceptes las palabras INSERT,UPDATE,LIKE,ETC. Tambien caracteres como >,<,|| etc

Tercero Un procedure de almacenado que reciba los tres parametros y solo devuelva un true o false.

espero que te sirva

Atte