Ese metodo de login es inseguro. Se presta para una inyección de sql:
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
Ademas, es mejor guardar las claves como un hash, e implementar el login con un procedimiento almacenado, o en su defecto, usar sustitución de parámetros:
http://mc-computing.com/databases/De...tml#parameters
Cita:
SELECT * FROM MATABLE
WHERE MT_ID IN (:MYPARAM)
|
Al menos hasta aqui es un buen primer intento para una app local, monousuario. Si es una app web o la BD se expone en una red amplia es mejor implementar un esquema mas seguro...