saludos gentita, acabo de probar el sql injection y si funciona
dejo el codigo:

<?php
include("cn.php");
$usu=$_POST[txtusuario];
$clave=$_POST[txtclave];

$consulta=mysql_query("select *from usuarios where nomusu='$usu' and clavusu='$clave'", $cn);
$contar=mysql_num_rows($consulta);
if($contar==0){
?>
<SCRIPT LANGUAGE="javascript">
location.href = "../nosotros.html";
</SCRIPT>
<?php
}else{
echo "Hola";
}
?>

si dijito el usuario correcto y la siguiente clave: 'OR''='
ingresa al panel. ¿Como evitaria eso?