Wiem, że jako tekst to zadziała, ale czy przekazując w $_POST zmienną $login poniższa funkcja zadziała i utworzy folder o takiej nazwie jaką zawiera $login?

[PHP] pobierz, plaintext 
<?php
//tak?
mkdir("D:/folder/" . $login); //winxp
//bo tak chyba nie
mkdir("D:/folder/$login");
//a może:
$path = "D:/folder/" . $login;
mkdir($path);
?>
[PHP] pobierz, plaintext 

Ale wariant nr. 1 i 3. to jest chyba to samo, z tym, że mi osobiście wydaje się że 3. jest bezpieczniejsze.

To wszystko to samo. Tylko należy pamiętać, że przy wyłączonym register_globals (czyt. prawie zawsze) będziesz musiał użyć $_POST['login'] i jeszcze sprawdzić zawartość.

To w takim razie jeszcze jedno pytanie do ciebie, na początku skryptu mam coś takiego

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
?>
[PHP] pobierz, plaintext 

, potem operuje tylko na zmiennych. Czy przy wł. register_globals jest to potrzebne?

Jest potrzebne, kiedy musisz się upewnić, że dane zostały przesłane metodą POST. Najlepiej zapomnij, że istnieje coś takiego jak register_globals, nikt o zdrowym rozsądku nie zostawia tej opcji włączonej.