Con ese tipo de validacion se hace necesario usar la funcion stripslashes() para evitar ataques de inyeccion de sql, no se si evitará todas la posibilidades, pero ahi no estas usando esa función.
Tal vez como yo he hecho portales y sistemas en php, con acceso sólo para un numero reducido de personas no he tenido contratiempos con la administracion de usuarios, es por eso que uso una validación asi:

1. creo y otorgo los permisos minimos a cada usuario en mysql, base por base, tabla por tabla.
2. Al crear el usuario le indico que sólo se puede conectar desde el equipo local, lo cual funciona por que no necesito dar acceso a la bd desde el exterios, y quien acdede a fin de cuentas a mysql no es otra maquina sino la local, al logearse desde una pagina web.
3. por tanto valido con mysql_connect();

mysql_connect("localhost",$_POST['login'],$_POST['password']);

Si no pasa de alli, entonces es por que el usuario no puede entrar a la bd.

No se si en mysql se pueden crear grupos de usuarios si fuera asi, mejoraria la gestion de la forma que uso para validar.