[Access][MySQL][PHP] Zabezpieczenia Opcje

[-rafor4-]

Siemka. Mam pytanie. Czy dobrze zabezpieczyłem skrypt rejestracji przed ewentualnymi atakami ?

[PHP] pobierz, plaintext 
if ($_POST['klasa']==1){
	if (empty($_POST['login']) || empty ($_POST['klasa']) || empty($_POST['haslo']) || empty($_POST['email'])) echo 'Wypełnij wszystkie pola!';
	else
	{
		$login = htmlspecialchars(strip_tags($_POST['login']));
		$login2 = htmlspecialchars(strip_tags($_POST['login']));
		$klasa = htmlspecialchars(strip_tags($_POST['klasa']));
		$haslo = htmlspecialchars(strip_tags($_POST['haslo']));
		$email = htmlspecialchars(strip_tags($_POST['email']));
		if (!ctype_alnum($login) ) echo 'To nie jest poprawna nazwa użytkownika!';
		else if (! filter_var($email,FILTER_VALIDATE_EMAIL) ) echo 'To nie jest poprawny email!';
		else
		{
			if (row("SELECT id FROM users WHERE login = mysql_real_escape_string($login) OR email='.mysql_real_escape_string($email).'") ) echo 'Nazwa użytkownika/email jest już zajęta';
			else
			{
				addslashes(mysql_query("INSERT into users (login,haslo,email,klasa) VALUES ('$login',md5('$haslo'),'$email','$klasa')"));
				addslashes(mysql_query("INSERT into statystyki (login2,sila,szybkosc,inteligencja,zrecznosc,wytrzymalosc,uniki,obrazenia) VALUES ('$login2','9','5','6','4','7','4','25')"));
				echo 'Konto zostało założone!<br>';
				echo '<br>Zostałeś Wojownikiem!';
				echo '<br><a href="index.php">-Powrot</a><br> ';
			}
		}
	}
}
[PHP] pobierz, plaintext 

Kiedy przy dodawaniu zmiennych do bazy tutaj:

[PHP] pobierz, plaintext 
addslashes(mysql_query("INSERT into users (login,haslo,email,klasa) VALUES ('$login',md5('$haslo'),'$email','$klasa')"));
[PHP] pobierz, plaintext 

zamiast '$login' wpisuję '.mysql_real_escape_string($login).' wtedy do bazy zapisuje się np. .mysql_real_escape_string(maselko492). Nie wiem czy jest to potrzebne, gdy już wcześniej zmienną login przefiltrowałem na obecność kodu php i html, jednak proszę o poradę (IMG:style_emoticons/default/wink.gif)

[-rafor4-]

[PHP] pobierz, plaintext 
if ($_POST['klasa']==1){
	if (empty($_POST['login']) || empty ($_POST['klasa']) || empty($_POST['haslo']) || empty($_POST['email'])) echo 'Wypełnij wszystkie pola!';
	else
	{
		$login = mysql_real_escape_string($login);
		$klasa = mysql_real_escape_string($klasa);
		$haslo = htmlspecialchars(strip_tags($_POST['haslo']));
		$email = mysql_real_escape_string($email);
		if (!ctype_alnum($login) ) echo 'To nie jest poprawna nazwa użytkownika!';
		else if (! filter_var($email,FILTER_VALIDATE_EMAIL) ) echo 'To nie jest poprawny email!';
		else
		{
			if (row("SELECT id FROM users WHERE login = mysql_real_escape_string($login) OR email='.mysql_real_escape_string($email).'") ) echo 'Nazwa użytkownika/email jest już zajęta';
			else
			{
				mysql_query("INSERT into users (login,haslo,email,klasa) VALUES ('$login',md5('$haslo'),'$email','$klasa')"));
				mysql_query("INSERT into statystyki (login2,sila,szybkosc,inteligencja,zrecznosc,wytrzymalosc,uniki,obrazenia) VALUES ('$login2','9','5','6','4','7','4','25')"));
				echo 'Konto zostało założone!<br>';
				echo '<br>Zostałeś Wojownikiem!';
				echo '<br><a href="index.php">-Powrot</a><br> ';
			}
		}
	}
}
[PHP] pobierz, plaintext 

Czyli jak jest tak to skrypt jest zabezpieczony tak ? Nie za bardzo zrozumiałem to 2.