Para um tratamento de dados completo utilize a função abaixo.
Função:
function cleanMe($input) {
$input = mysql_real_escape_string($input);
$input = htmlspecialchars($input, ENT_IGNORE, 'utf-8');
$input = strip_tags($input);
$input = stripslashes($input);
return $input;
}
$login = cleanMe($_POST['login']);
$senha = cleanMe($_POST['senha']);
$minha_query = "select * from tabela where login = '$login' and senha = '$senha';