Как обойти фильтрацию кавычки функцией eregi_replace ???

есть такой код:

$val){

$_POST[$var]=trim(eregi_replace("'","''",$val)); // экранит кавычку( вместо одной появляется две

}

...

$rez=mysql_query("select id from admins where admlogin='".$_POST["login"]."' and admpass=password('".$_POST["pass"]."');",$link);

>

логин\пасс вбиваются через форму и шлются POST'OM.

Делаю инъект в логин: login=admin' # & pass=anyparol и тут бы все хорошо, но срабатывающий erig_replace превращает select в такое:

Query select id from admins where admlogin='admin' ' #' and admpass=password('anyparol').

Исходник скрипта у меня есть и я пробовал убирать строку с фильтрацией тогда можно логиниться без пасса! Помагите пожалуйста обойти экранирование!