Usa mysql_real_escape_string() para evitar inyecciones sql. Realiza una verificación de longitud tanto en $user como en $pass, y en $user podrías incluso usar expresiones regulares para validar el tipo de caracteres que trae (podrias restringir sólo a letras, números y algunos signos de puntuación).

Pero definitivamente, dejarlo así como lo tienes, te hace MUY vulnerable.