Con eso me refiero a que debes limpiar tus variables de usuario y password antes de tratarlo. Si en usuario esperas solamente letras y numero eso es lo que debe contener variables por lo cual debes eliminar todo lo demas, es decir comillas simples, dobles, * y demas carcateres raros.
Hay muchos ejemplos de eso en la red y este es solo uno que econtre
Código PHP:
function limpiarCadena($valor)
{
$valor = str_ireplace("SELECT","",$valor);
$valor = str_ireplace("COPY","",$valor);
$valor = str_ireplace("DELETE","",$valor);
$valor = str_ireplace("DROP","",$valor);
$valor = str_ireplace("DUMP","",$valor);
$valor = str_ireplace(" OR ","",$valor);
$valor = str_ireplace("%","",$valor);
$valor = str_ireplace("LIKE","",$valor);
$valor = str_ireplace("--","",$valor);
$valor = str_ireplace("^","",$valor);
$valor = str_ireplace("[","",$valor);
$valor = str_ireplace("]","",$valor);
$valor = str_ireplace("\\","",$valor);
$valor = str_ireplace("!","",$valor);
$valor = str_ireplace("¡","",$valor);
$valor = str_ireplace("?","",$valor);
$valor = str_ireplace("=","",$valor);
$valor = str_ireplace("&","",$valor);
return $valor;
}