Hola, lo primero que quiero decir es que en vez de estar haciendo pruebas de injection para intentar protejer tu sistema , lo primero que deberias de haces es migrar de mysql a mysqli o PDO , mysql esta deprecado amigo . http://www.forosdelweb.com/f18/anunc...oleta-1008145/

lo segundo que introducir tal que asi trim($_POST['user']) en la consulta directamente sin ningun tipo de validacion ni saneamiento de ningun tipo es una muy mala malisima practica.

saludos.