Hola, la verdad es que no se como funcionaria la inyección de código ahí, pero puedes utilizar una expresión regular , si tu único usuario es el admin , el parámetro nombre solo aceptara entradas que contengan valores en letras minúsculas si no, ni se molestara en hacer la validacion. Esto impedira que se inserten comillas y otro tipo de caracteres que pretendan engañar a tu script un ejemplo

el primer if determina que si el contenido de "nombre" es algo distinto a letras minusculas y no tiene 5 caracteres exactos, es que no es valido. si el contenido es valido, entonces se comprobara si es correcto el nombre de usuario y la contraseña.

Otro tema es que el archivo de contraseña no pueda ser modificado por nadie ya que si eliminan la contraseña del archivo, entonces valdria con dejar el espacio de contraseña en blanco para validar.