はい、脆弱です。ユーザー入力から直接値を話し、それをクエリに配置します。
mysql_real_escape_stringを確認する必要があります 、または(できれば)パラメータ化されたクエリを提供するMySQLiを使用します。 SQLインジェクションは、ユーザーデータがデータではなくSQLコードとして挿入されることによって発生します。クエリを保護する唯一の真の方法は、パラメータ化されたクエリを使用することです。これにより、データとクエリテキストがプロトコルレベルで分離されます。
さらに、パスワードはプレーンテキストで保存されます。絶対最小値としてソルトハッシュ関数を使用する必要があります。
これらのすばらしい質問もご覧ください: