Fragment kodu:

[PHP] pobierz, plaintext 
$sql = "SELECT * FROM users WHERE login = '$_POST[login]'";
$wynik = mysql_query( $sql );
echo mysql_num_rows($wynik);
[PHP] pobierz, plaintext 

Powyższy kod wyświetla oczywiście ilość rekordów, w których pole login jest równe danej wpisanej w formularzu.
W praktyce, przy założeniu, że loginy nie mogą się powtarzać - będzie to 0 (gdy nie ma takiego użytkownika) lub 1 (w przeciwnym wypadku).

Gdy np $_POST[login] = nieMaTakiegoUzytkownika to naturalnie zwracane jest 0.
Ale... w zakłopotanie wprowadziło mnie to, że gdy w formularzu zrobie kilka spacji ($_POST[login] = " ") albo nie wpisze nic ($_POST[login] = ""), zwracane jest... 1! Dlaczego ? Oczywiście w bazie nie powinno być takiego rekordu.

Wiesz co to trim? Wiesz co to SQL Injection. Pierwsze Ci się przyda do pozbycia się nadmiarowych spacji, drugie to podstawa!

Dzięki za zwrócenie uwagi na SQL Injection.

Tak powinno być lepiej:

[PHP] pobierz, plaintext 
$temp = addslashes($_POST[login]);
$sql = "SELECT * FROM users WHERE login = '$temp'";
$wynik = mysql_query( $sql );
echo mysql_num_rows($wynik);
[PHP] pobierz, plaintext 

Natomiast nie zrozumiałem, w jakim kontekście wspomniałeś o trim ? Dlaczego powinno zależeć mi na usunięciu nadmiarowych spacji ? W dalszym ciągu zwracany wynik to 1 i nie wiem dlaczego. Jeżeli dobrze rozumiem, to zapytanie wygląda mniej więcej tak:

[SQL] pobierz, plaintext 
SELECT * FROM users WHERE login = '    '
[SQL] pobierz, plaintext 

użyj mysql_real_escape_string

co do trima

[PHP] pobierz, plaintext 
 
$login = mysql_real_escape_string(trim($_POST['login']));
 
[PHP] pobierz, plaintext 

W dodatku po co wyciągasz wszystko?
Wyciągnij tylko id tego usera. ;]

W takim razie może nieco inaczej:

[PHP] pobierz, plaintext 
		$login = mysql_real_escape_string(trim($_POST[login]));	
		$sql = "SELECT * FROM users WHERE login = '$login'";
		$wynik = mysql_query( $sql );		
 
		$user = mysql_fetch_object( $wynik );
		$password = $user -> pass;
		$status = $user -> status;
 
		if ( $password == md5( $_POST[pass] ) && mysql_num_rows($wynik)>0 ) {
			if ( $status == 1 ) {
				$_SESSION[login] = $_POST[login];
			}
			elseif ( $status == 0 ) {
				echo "<span>Konto nie zostało aktywowane.</span>";
				showLogin();
			} else {
				echo '<span>Konto zbanowane.</span>';
				showLogin();
			}
 
		}
		else {
			echo '<span>Nieprawidłowy login lub/i haslo.</span>';	
			showLogin();	
		}
[PHP] pobierz, plaintext 

Jeżeli w formularzu podam pusty ciąg znaków, albo kilka spacji otrzymuje komunikat, iż konto nie zostało aktywowane. Wskazuje to na to, jakby znaleziono takiego użytkownika w bazie, co jest bez sensu. Zaproponowane mysql_real_escape_string nie rozwiązało tego problemu.

Przejrzyj ten temat.

Zadbaj o dane które przychodzą do Ciebie. Gdzie sprawdzasz czy login w ogóle coś zawiera, czy w ogóle istnieje, a jak istnieje to w jakiej formie?

Ponieważ powinno Ci zależeć na bezpieczeństwie. poczytaj o SQL Injection raz jeszcze.

[MYSQL] pobierz, plaintext 
$sql = "SELECT * FROM users WHERE login = '$login'";
[MYSQL] pobierz, plaintext 

Po co pobierasz wszystko? Ogranicz się tylko do loginu i daj limit na 1.

Nie prościej do statusu? Statusu i tak potrzebuje...

co do zapytania - zwal na stronę mysql porównanie również hasła