Даже если представить, что ваше подготовленное выражение пропускает инъекцию (это не так), то вас не может "авторизовывать без каких-либо проблем", потому что запросом вы проверяете наличие логина в БД и получаете оттуда хэш пароля. Чтобы успешно авторизоваться вы должны ещё правильно ввести пароль пользователя, который с этой "инъекцией" выбирается первым. И в этом случае инъекция сводится к "узнать логин первого пользователя в таблице", что, согласитесь, неприятно, но не сильно значительно, если у пользователя при этом сложный пароль, который долго брутить.
Ваша проблема в каком-то другом коде.
