Pues en realidad deberías de aplicarle la función limpiaCadena a los dos parámetros del post, tanto al usuario como a la contraseña ANTES de ejecutar la consulta de selección en la base de datos.

En el campo contraseña también se puede escribir código malicioso por más que uno solo vea los asteriscos ;)

Salu2