1) Sei molto vulnerabile da una SQL injection
2) le password dovrebbero essere in hash
3) fai un https per la criptazione
4) spero che il $_SESSION[autorizzato] derivi da un sessionid();

Queste giusto per citarne alcune , poi scusa questo a cosa serve?

$user=$_POST['user'];
$pass=$_POST['pass'];

usa le variabili $_POST direttamente nella query