Тоже вопрос задам про защиту.
А что если просто делать проверку в логине лишних символов типа <?;.," ' и т.д.
Если они имеются, то просто выход делать exit;
Либо удалять их, оставляя только буквы,цифры, пробелы.

имхо, в случае с паролями можно делать просто:

ведь на то и пароль, чтоб можно было в нём юзать любой символ, в т.ч. пробелы, разве нет?

Дело в том что символов-прокладок много. Если решили идти методом обрезания символа, то просто ставите регулярочку чтобы обработчик принимал только определенные символы (A-z, цифры 0-9 и пр.).

Приведенные топик-стартером фильтры в принципе достаточны, что не сказать о самой форме. Если это критически важная форма авторизации, то я бы добавил каптчу и ограничение на количество повторов ввода, после чего блокировал бы авторизацию с конкретного ip, это усложнит взлом учеток школьниками через разного рода бруты.

и можно ли через поле password провести xss или инъекцию при такой обработке? (Это я к своему предыдущему посту)

Вы используете хеш и нигде не выводите начальные введенные пользователем данные.
Через указанные вами скрипты и через поле password формы атаки рода xss или инжект невозможны.

Однако вполне можно поэкспериментировать с вводом длинных значений в ваши поля, ограничений на это я не нашел. И посмотреть что будет вываливать ваша страница при превышении значением допустимого в поле бд пространства. На данный момент, если не инжект, то перегрузить сервер частыми запросами неограниченный длинны даже через эти 2 поля задача не сложная.

Ограничение на длину пароля я делал, на стороне клиента через js. Длину логина специально не ограничивал, должна ограничиваться длиной самого инпута (maxlength="36"), в первом посте не указал

Может ли инъекция навредить при передаче данных.
Вот ввёл он в логин скрипт инъекции и отправил.
Обработчик берёт значение этого логина и просто вносит в базу.
Здесь он никак не навредит? Только при выводе информации?

навредит и еще как, сначала проверят проходит ли sql-injection, специально напишут так, чтобы запрос к базе данных получился бы не верным и соответственно получится ошибка, поймут что есть уязвимость и вместе с этим запросом могут отправить еще какие-нибудь или в этот допишут что-нибудь интересное, зависит от ситуаций и как написан сам запрос. поэтому экранировать нужно всегда. А вот в случае с xss, то тут да, навредить могут только при выводе информации на страницу, но опять же смотри, лучше один раз на этапе записи данных в базу позаботится о преобразовании спец. символов в html сущности при помощи функции htmlspecialchars() и быть уверенным, чем потом быть параноиком и при каждом выводе данных из базы обрабатывать их этой функцией.
(Добавление)

нужно все равно проверять на стороне сервера, js при желании смогут отключить в браузере или вообще возьмут данные тебе и отправят при помощи поддельной html-формы. ну или если лень в скрипте проверять, можно в мускуле ограничить, просто задать длину полю и всё, больше этого все равно как не старайся мускуль записывать откажется.