1) Sei molto vulnerabile da una SQL injection
2) le password dovrebbero essere in hash
3) fai un https per la criptazione
4) spero che il $_SESSION[autorizzato] derivi da un sessionid();
Queste giusto per citarne alcune , poi scusa questo a cosa serve?
$user=$_POST['user'];
$pass=$_POST['pass'];
usa le variabili $_POST direttamente nella query