por lo personal lo encuentro bien.. osea mientras uses sql solo ingresando el user.. y lo demas lo trabajes del lado del servidor dudo que puedan entrar...

de todas formas no te aria mal quitarle los signos = con un str_replace al username.. uno nunca sabe el ingenio y ocio asen maravillas.. pero quitando el = ya repocas opciones de injection quedan asi que eso..
saludos!