och, die Eingabe eines Benutzernamens wie

Ilja' OR 1 --

würde beim vorliegenden Code ebenfalls dazu führen, dass mehr als ein Datensatz geliefert wird, sofern die login-Tabelle mehr als einen Eintrag aufweist :-)

Beim Vorliegenden Code des OP - nicht bei meiner SQL-Abfrage :p da gibts keine Variablen ;)