io verificherei prima se la variabile "$user" esiste.
Verifico con una bella espressione regolare l'user.
dopo di che faccio la ricerca.

Facci sapere