Prima di tutto...dove vengono inseriti i dati?

Se vengono inseriti in un form allora cambia e metti
$_POST['user'] e $_POST['pass']

PS: non esiste nulla a prova di tutto... ti posso decriptare anche una connessione criptata con un algoritmo a 256bit, anche se ci vorrebbe un bel po'