Ma appunto il tool mica injecta al posto tuo, ti invia solamente i dati via POST tu volendo su username ecc puoi metterci una bella SQL inj, senza che ti venga
bloccati i caratteri ' " da Javascript, browser strip, o altre cagatelle
Di certo se metti un mysql_real_escape_string() o un replace dei caratteri nessuno ti tocca