usa questa query

SELECT COUNT(*) FROM tabella WHERE user = $user AND pass = $pass

se il risultato è diverso da 1 non fare il login