trata de validar todo antes de hacer la consulta...en el caso de validar un usuario usa md5 ej:

select * from usuarios where md5(login)='md5($_POST['login'])' and pass='md5($_POST['pass'])'

eso convierte cualquier cadena y la encripta...