sql injection funciona ou não??? alguem ja tentou???

Bom dia...Tenho o seguinte comando SQL para validar usuarios...mysql_query("SELECT * FROM usuarios, revenda WHERE usuario='$usuario' AND senha=MD5('$senha') AND permissoes='3' AND email=usuario AND status='1'",$con);onde as variaveis $usuario e $senha vem de um formulario html ... que eu não faço nenhum tratamento de string....to tentando fazer um sql injection.. so para ver se funciona oque todos dizem que funciona... mas a maioria não testou... então fiz o seguinte....coloquei este comando dentro do campo do formulario usuario mysql_escape_string("1' or id ='0'#")e digitei alguma coisa no campo senha so para não ficar em branco... então... NÂO FUNCIONOU....Alguem sabe como Fazer INJECTION?desde já Agradeço a ajuda... de todos