if($user == $_GET['user'] && $pass == $_GET['pass']){
MAI PASSARE LA PASSWORD IN GET..
$user == $_POST['user'] && $pass == $_POST['pass']

se devi farlo nella stessa pagina metti nella form un campo nascosto tipo:
Codice PHP:
<input type="hidden" name="NASCOSTO" value="VALORECHEVUOI" /> 
e prima, con criterio ovviamente, che processi il codice all'inizio metti
Codice PHP:
if ((isset($_POST["NASCOSTO"])) && ($_POST["NASCOSTO"] == "VALORECHEVUOI")) {

//tuo codice