sub7 con respecto a lo que dices del maxlenght te evita injecciones SQL estas muy equivocado companero....
NUNCA debemos fiarnos del input de un usuario
te explico que pasa. supongamos que tu dices, con un maxlenght de 10 en los input me evito injecciones SQL, luego viene tito (un chaval muy cabron) y arma en su pc con ayuda de un notepad el siguiente codigo
Código HTML:
<form name="formu" action="login.php" method="post">
<b>Usuario:</b><br/>
<input type="text" maxlength="100[" name="usu_form"><br/>
<br/>
<b>Pasword:</b><br/>
<input type="password" maxlength="100" name="pass_form"><br/>
<br/>
<input type="submit" value="L O G I N">
</form>
notese q los maxlenght dicen 100 ahora y el action del form es el mismo q el de tu aplicacion, x lo cual el desde su navegador abriendo una pagina local puede "POSTEAR" un usuario y una contrasena de 100 digitos cada una ahora y si hacer la injeccion sql.
ni hablar de que con firebug o algun otro plugin maravilloso para fiefox solamente tiene que editar el maxlenght de tu pagina para hacerlo y no tiene q escribir el formulario.
Queria aclarar esto x q es un error comun en el que cae mucha gente.
Sobre tu codigo PHP aun no lo he visto para opinar. Espero companero que no te tomes a mal mi comentario, yo solo quiero aportar un poco de lo que he aprendido.
:wq