La verdad que ademas de inseguro es caro, para el servidor XD
Mira, para los sistema de usuario se suele hacer una consulta de este tipo:
Código PHP:
$query = mysql_query("SELECT password FROM `usuarios` WHERE username = '$user' ");
entonces, despues envezde hacer un while... haces un if:
Código PHP:
$datos = mysql_fetch_assoc($query); //Aclaro que mysql_fetch_assoc es mas barato que mysql_fetch_array y es practicamente lo mismo.
if($pass = $datos['password']){
echo 'Logeo correcto';
}
Ahora bien, respecto a la seguridad... la password, debe estar encodeada en md5() para proteger los datos de los usuarios, por ejemplo cuando un usuario se registra antes de insertar la pass en la DB, haces
Código PHP:
$password = md5($password);
//Despues aca haces el INSERT a la DB con la pass ya encodeada en MD5
cuando vallas a comprobar que los datos son correctos, osea, cuando se logea... tambien tnes que encodear en md5 la pass que recivis por $_POST.
Otro temita, te recomiendo usar htmlentities(); en el nombre de usuario, de la misma forma que hacemos con la pass al momento de registrar y tambien al de logear para evitar una SQL injection.
Suerte.