Utilisez PDO au lieu de l'une ou l'autre de ces approches. Cela vous permettra d'utiliser des paramètres au lieu de chaînes.
$sth = $dbh->prepare('SELECT * FROM users WHERE username = :username AND password = :password LIMIT 1');
$sth->bindParam(':username', $username, PDO::PARAM_STR);
$sth->bindParam(':password', $password, PDO::PARAM_STR);
$sth->execute();
Au fait, assurez-vous que vous n'utilisez pas des mots de passe en texte brut en même temps.