Хм, правда не знаю Почти на 100% уверен что метод отсекает "and password = '$password'" так как с ним замутить выборку, не зная пароля имхо нереально. Возможно, юзается неизвестный науке тип комментария?