No, claro que no... el pass no se comprar en la consulta mysql, se compra por php mediante == ademas, antes de comprarlo se pasa por md5, asique por el pass no se podria poner ningun codigo "malicioso"