Tienes un error en esta línea:
Código PHP:
$sql = "SELECT id FROM usuarios WHERE login="htmlspecialchars($_POST['login'])"";
Las cadenas se unen por medio de puntos:
Código PHP:
$sql = "SELECT id FROM usuarios WHERE login=".htmlspecialchars($_POST['login'])."";
Y como te dijeron, es mejor usar mysql_real_espape_string pues esta función te modificará solamente aquellos caracteres peligrosos para tu consulta tomando en cuenta la codificación de caracteres de tu BD, pues existe un ataque con UTF8 mal formado que puede llegar a saltar a htmlspecialchars:
Código PHP:
$sql = "SELECT id FROM usuarios WHERE login=".mysql_real_espape_string($_POST['login'],$db)."";