Perdón, no me fije en esa parte, pues entonces no, no entraría, otra cosa es que hagas "lo mismo" 2 veces tanto en la SQL, como en PHP (preguntas si password = password en sus 2 variantes).

Entonces sólo te quedaría saber si la función "mailControl", no se traga sqlInjection, en plan "[email protected]' or '1'='1' --"