HiDE-Adaさんが書かれている，SQL-Injection脆弱性の他にも，
そもそもデータベースにパスワードが平文で保存されていること自体が，通常は問題です。
正当な理由 (APOPなどのプロトコルを実装する都合上，平文パスワードが無いと実装できない場合) を除いて，
・必ずハッシュ化 (復号不可能な暗号化) を行う。この時，SHA2系のような新しいハッシュ関数を利用する
・ユーザー毎に異なるソルトを使う
・ハッシュ値はストレッチングを行う
といったことをする必要があります。
平文が必要な場合でも，復号可能な暗号化を使って上記のことを行うくらいはやった方がよいでしょう。

このあたりは，Webでのユーザー管理について調べると，情報が出てくるかと思います。