Просмотр поста

$user = mysql_query("SELECT * FROM `".$prefix."users` WHERE `login`='".htmlspecialchars(mysql_real_escape_string(trim($_COOKIE['login'])))."' AND `password`='".htmlspecialchars(mysql_real_escape_string(trim($_COOKIE['password'])))."'");

тут sql инъекция...
помогите его закрыт