Привет, прошу скажите пожалуйста насколько безопасен данный скрипт от sql иньекций.

<?$err = array();
   if(isset($_POST['submit'])):
   if(!preg_match("/^[a-zA-Z0-9]+$/",$_POST['user'])){ 
        $err[] = "Логин может состоять только из букв английского алфавита и цифр"; 
    }
   if(!preg_match("/^[a-zA-Z0-9]+$/",$_POST['pass'])){ 
        $err[] = "Пароль может состоять только из букв английского алфавита и цифр"; 
    }
   if(count($err) == 0){
   $user=$_POST['user'];
   $pass = md5(trim($_POST['pass']));
   $sql=mysql_query("select*from users where login='$user'");
	$num=mysql_num_rows($sql);
   if($num==0):
        $err[] = "Такого участника нет"; 
   else:
   $row=mysql_fetch_array($sql);
   $pass1=$row['password'];  
   if($pass1!=$pass):
        $err[] = "Введеный пароль не верный";
   else:
   setcookie("user","$user", time() + (86400*30));
	setcookie("pass","$pass", time() + (86400*30));
   endif;endif;
   } 
   endif;
   if(!isset($_COOKIE['user']) AND !isset($_COOKIE['pass'])):
   if (count($err) > 0) {
      print "<b>При входе произошли следующие ошибки:</b><br>"; 
      foreach($err AS $error) 
      { 
        print $error."<br>"; 
      }   
    }?>
  <form method="POST" action="login.php">
  Логин  <input type="text" name="user"><br>
  Пароль <input type="password" name="pass"><br>
  <input name="submit" type="submit" value="Войти"> 
  </form>
  <?else:
  if(!preg_match("/^[a-zA-Z0-9]+$/",$_COOKIE['user'])){ 
        $err[] = "Логин может состоять только из букв английского алфавита и цифр"; 
    }
   if(!preg_match("/^[a-zA-Z0-9]+$/",$_COOKIE['pass'])){ 
        $err[] = "Пароль может состоять только из букв английского алфавита и цифр"; 
    }
   if(count($err) > 0){    
   setcookie("user");
	setcookie("pass");
   header("Location: login.php");
   exit();
   }
   ?>
  Пока что вроде зашли))) C защитой!!!
  <?endif;?>