دوست عزیز به نظر من پسورد رو تو کوئری چک نکنید یعنی با یوزر کوئری بگیرید و پسورد رو بگیرید و با کد پی اچ پی چک کنید نه مثل کد شما
$check = mysql_query("SELECT FROM tablename WHERE Username ='$username' limit 0,1");
if(mysql_result($check, 0, 1) == $_POST['pass']){ لاگین شد}
دلیل
فرض کنید مثل شما کوئری گرفتیم و یه کاربر نام کاربری رو بدونه و اینجوری وارد کنه:
username : "admin'--"
Pass : "123"
وارد کرد
اونوقته که کوئریتون به شکل زیر در میاد:
$check = mysql_query("SELECT FROM tablename WHERE Username = 'admin'--' and Password = '".$password."'");
از اونجایی که میدونین هم -- در اس کیو ال یعنی کامنت و کاربر لاگین میکنه
یا اگه یوزر و پسورد نداشته باشه اینجوری وارد کنه:
username : "abc"
Pass : "123' or '1'='1"
باز هم لاگین میکنه