С чего ты взял, что не фильтруются?
Как раз сервер и фильтрует кавычки. Если бы не фильтровало, то ты запросто мог бы выбрать ник из нижнего списка и сделать следующую запись в поле логина Kolin'#, а в поле пароля любые данные- вот ты бы и получил инфу о нём; или в поле для пароля подставил бы 'or '1'='1 - так ведь это не получится!