ya .. ese es el gran problema el que esta encriptado jaja... pues voy a provar con sql_real_escape_string() pero es que tengo una duda con el... a ver he mirado en varios sitios el mismo ejemplo e incluso en la pagina oficial de PHP sobre el y siempre veo lo mismo:

$query = sprintf("SELECT * FROM usuarios WHERE usuario='%s' AND
password='%s'",
mysql_real_escape_string($usuario),
mysql_real_escape_string($password));

Por que en la sentencia usuario esta igualado a '%s' ? y por que pasword esta igualado alo mismo mismo? como sabe cual poner en que sitio?

Muchas gracias a todos jeje

un saludo