Una cosa, yo uso el objeto pdo para conectar a la base de datos y utilizo sus comandos para ejecutar consultas y aún así pude inyectar código sql. Hice una prueba y receurdo que en el login o password, si ponía algo como '"drop table usuarios"'; lo insertaba como código sql en la consulta y la ejecutaba ( lo que puse no es exacto, lo estoy haciendo a ojo ) qué tendría que hacer para evitar algo así ?