Por más que cifres la contraseña (algo recomendable, pero por otros motivos) las inyecciones SQL pueden darse. Para evitarlas usa la función mysql_real_escape_string antes de enviar la sentencia SQL.