O bahsettiğin login olurken yani form submit olayında şifre alanına SQL dilinde 'bu veya bu' ise giriş yap mantıgını kullanarak yapılan birşey ve html'in onu önlemek için hali hazırda zaten fonksiyonları mevcut.

POST kullan böyle işlemlerde gereksiz veriler taşırken GET kullanırsın. Ben GET'i linki okutup parçalayıp kullanma gıbı bır ıslemler yapmadıgım sürece hiç kullanmam.
Koşul ve kontrollerlede güvenliği bir nebze de olsa arttırabilirsin
PDO - SQL INJ Stackoverflow incelemenin yararı olur.