Existe uma possibilidade de injeção de SQL mesmo quando se usamysql_real_escape_string() função?

Considere esta situação de exemplo. SQL é construído em PHP assim:

$login = mysql_real_escape_string(GetFromPost('login'));
$password = mysql_real_escape_string(GetFromPost('password'));

$sql = "SELECT * FROM table WHERE login='$login' AND password='$password'";

Ouvi várias pessoas me dizerem que um código como esse ainda é perigoso e possível de invadir, mesmo commysql_real_escape_string() função usada. Mas não consigo pensar em nenhuma possível exploração?

njecções clássicas como esta:

aaa' OR 1=1 --

não funciona

Você conhece alguma possível injeção que poderia passar pelo código PHP acim