credo si possa dire che sbagli proprio del tutto l'approccio al login.

Se cerchi un utente devi semplicemente mettere user e password nel where della select.

Codice PHP:
//Prendo le variabili dal form
$user $_POST['user'];
$pass $_POST['pass'];

//Faccio una ricerca sulla tabella utenti
$sql="SELECT count(*) as tot FROM utenti where user = '$user' and password = '$pass' "
se l'alias tot contiene 1 l'utente esiste, se 0 non esiste, se > 1 ce ne sono troppi.