existen varias formas de corregir muchas inyecciones
funciones como addstripslashes o mysql_real_escape_string() son una de ellas
otra forma de ver si esta bien los resultados es tmar los datos de entrada usuario y contrasñea, hacer la consulta y comprarar el resultado con los originales si hubo una inyeccion estos deberian ser distintos
saludos