Hola, por un tema de seguridad es mejor no chequear el password en la sentencia sql.
Mejor es chequear solo el usuario, traer los datos y chequear el password con php.