Te faltó indicar tu formulario HTML donde pides esos datos de "user" y "pass" .. por qué ahí en ese código se vé que esperas esas variables por $_GET .. y no vemos como realmente llegan (por GET o POST). Podría estar el problema por ahí.
Por otro lado .. Realmente si no vas a identificar ni controlar que tipo de error tiene el usuario al hacer su login; bien que se equivoque en la contraseña .. o el usuario no exista, no tiene mucho sentido toda la lógica que usas (tomada de mi "Autentificator" como base ..? ...sólo es curiosidad .. el código es libre no te preocupes).
Bajo ese punto de vista . .no te compliques .. valida en la sentencia SQL el usuario y su password .. si el resultado es 1: coincide usuario/contraseña = login aceptado .. si es 0 .. no acertó=login incorrecto. También se supone que los usuarios son "únicos" .. así que la validación es contra =1 .. no !=0 ..(no se ha de esperar +1 usuario igual con nombre y contraseña igual)
Código PHP:
$usuario_consulta = mysql_query("SELECT id,cod_usu,clave,rango_usu FROM usuarios WHERE cod_usu='".$_GET['user']."' AND clave='".$_GET['pass']."'");
if (mysql_num_rows($usuario_consulta) == 1){
// usuario validado y correcto .. crea tus variables de sesión y redirecciona a donde corresponda.
} else {
// usuario no válido .. hay un error .. redirecciona a donde corresponda.
}
Otro detalle (por curiosidad) .. tus contraseñas como las gestionas? (al parecer son "planas" = no encriptadas (con MD5() u otros) ..)
Un saludo,