en mi blog tengo una funcioncita mysql que hice que te puede ayudar en esto.

http://tssi-utn.blogspot.com.ar/2012...ion-mysql.html

en lugar de hacer la select, llamas a una funcion que devuelve 1 o 0. es mas prolijo y mas seguro. Y si no mostras los errores php ya la sql injection se les complica mucho porque la sintaxis es diferente al llamar a una funcion, tienen que ser adivinos