No me había fijado que la función ya agregaba las comillas, prueba así:
Código PHP:
Ver original$LoginRS__query=sprintf("SELECT `user`, password FROM `admin` WHERE `user`=%s AND password=%s", GetSQLValueString($loginUsername, 'text'), GetSQLValueString($password, 'text'));
Así filtras también el nombre de usuario.