questa è la query giusta:
Codice PHP:
$fornitori_sql "SELECT * FROM fornitori WHERE username='" trim($user)."' and password='"trim($pass)."'"

Tolti , il problema è che chiunque nella form per entrare nel sito le lascia vuote, entra, pensavo che con trim risolvevo, invece no... Praticamente il db che pieno di dati ci son degli spazi vuoti, chi non mette nulla nei campi di input entra nel sito, come risolvo?
Questo è un altro problema, molto grave! Devi fare i dovuti controlli. Ti posto un semplice esempio.

Codice PHP:
$fornitori_sql "SELECT * FROM fornitori WHERE username='" trim($user)."' and password='"trim($pass)."'";

$result mysql_query($fornitori_sql);

if (@mysql_num_rows($result) == 1)
{
    // utente trovato
}
else
{
    // utente non trovato