302 to sposób, w jaki serwer mówi „Chcę, żebyś poszedł do [gdzie indziej]” (w tym przypadku login.php). To nie jest błąd, ale zupełnie normalna odpowiedź. Zwłaszcza w twoim przypadku znacznie bardziej sensowne jest (jeśli mnie o to poprosisz) wysłanie użytkownika na stronę logowania po próbie wstrzyknięcia SQL niż wpuszczenie go.
