我在$login上使用了addslashes函数来停止sql注入,但有些朋友告诉我安全性不够.但是,他们没有告诉我如何利用此漏洞.

我怎么能/你能破坏这段代码？
我该如何保护它？

<?PHP

    if ( isset($_POST) && (!empty($_POST['login'])) && (!empty($_POST['password'])) )
    {
        extract($_POST);
        $sql = "SELECT pseudo,sex,city,pwd FROM auth WHERE pseudo = '".addslashes($login)."'";
        $req = MysqL_query($sql) or die('Erreur sql');
        if (MysqL_num_rows($req) > 0)
        {
            $data = MysqL_fetch_assoc($req);
            if ($password == $data['pwd'])
            {
                $loginOK = true;
            }
        }
    }
    ?>