@colcrt: No quiero revivir cosas viejas, pero por ahí a alguno le sirve, más si es despistado como alguien que conozco.
1) Verifica que la información no esté cifrada/ofuscada (MD5, SHA, Base64, Etc...)
2) Verifica que corresponada consulta -> base de datos. (Es decir si tu input hace una consulta a base de datos (a) y tú tienes el usuario y contraseña que se encuentra en la base (b) entonces no hay forma, excepo que los datos se encuentren en ambas)
3) Que no exista algún punto de control que te limite el acceso. Ej: Comparar la IP con X-FORWARDED-FOR y que no coincidieran.
4) Verificar los datos introducidos, muchas veces si se copia o se pega por ahí puede faltar un caracter o ir acompañada de un espacio. <- Es una estupidez, pero a mi me ha ocurrido que por ahí fallo en escribir alguna contraseña que uso todos los días...
sí ya lo sé doy vergüenza ajena...