Übernimmst du $Login ohne vorherige Behandlung mit mysql_real_escape_string()?
Dann hast du eine potenzielle SQL-Injection-Lücke, bei der der Angreifer beliebige SQL-Statements gegen deine Datenbank absetzen kann.
Außerdem gäbe es noch eine weitere Möglichkeit, das Skript sicherer zu machen: Frag direkt die Datenbank, ob es einen User mit dem Login $Login und dem Passwort $Password gibt, damit kommt das Passwort nichtmal bis zum PHP-Skript.