Con real te refieres a que si las variables se llenan de ese modo?

En la realidad absoluta, tendría que poner el form con el action a un .php de validación.
Después $username pasa por un control de datos y si cumple con los requisitos, lanzo la peticion
login($username,md5($password),$password);

No pondré todos esos pasos porque el kit de la cuestión es si la consulta no dará ningún error o si existe algún agujero de seguridad