Como dices al principio tu mismo, si pones algo como:
' or '1'='1

Debería convertir tu consulta en:

$qry = "SELECT password FROM clients WHERE username='$username' AND password='$password' OR password='' or '1'='1'";

Por lo que debería entrar. Si no entra, será porque tenga las magic quotes de tu servidor activas, algo que no debería suceder:

http://php.net/manual/es/security.magicquotes.php

Para asegurarte, pasa ese valor en tu formulario y pinta un echo de la consulta y mira que saca y porque.