Esto es una injection pero no sql, sino XPath injeciton. Puedes ver informaciĆ³n de ella en:
https://www.owasp.org/index.php/XPATH_Injection
Y la soluciĆ³n a introducir es:
username=blah' or 'a' = 'a
password=blah' or realname/text()='Sandra Murphy