Б@нДиТ, Я тоже так думал

Ребята, есть ли тут SQL inj? Вот тут =>>> $_SESSION[\'id_user\']=mysql_result(mysql_query(\"SELECT `id` FROM `user` WHERE `nick` = \'\".my_esc($_POST[\'nick\']).\"\' AND `password` = \'\".md5($_POST[\'password\']).\"\' LIMIT 1\",0);