Ahogy mondtak: SQL injection ES nem szokas user-pass -t GET -el atadni.
Az SQL injection nem biztos, hogy ebben az esetben _nagy_ gaz, mivel lehet, hogy az elso dolog egy foreach ( $_GET as $kulcs => $cur_get ) { $_GET[$kulcs]=tisztito_fgv($_GET[$kulcs]) } es minden valtozot tisztit, ezt nem tudhatjuk, de a GET hasznalatara akkor sem nagyon van bocsanat ( kiveve ha az app SSL only )