jejejeje, pues si, pero el SQL Injection para cuando ya caminas, no cuando estas gateando, bueno, igual no esta de más mencionarlo.

U_G hizo ese comentario por que si alguien ingresa un usuario como esto: ' or true --, en mi consulta quedaría algo como esto:
Select * from TuTabla Where login = '' or true -- and [Contraseña] = 'cualquier cosa', y si tienes SQL Server, el -- se toma como comentario de linea, es decir que ya no se evaluaría, esto hace que la condición OR TRUE haga que cualquier usuario ingrese al sistema, por eso él los cambio antes de hacer la concatenación.

En el foro hay muchos temas sobre el SQL Injection y verás que es algo mucho más peligroso que solo entrar a una página, pueden borrarte información de la BD, incluso.

Saludos