Hola, NUNCA se debe pasar ese tipo de datos por URL , una vez confirmes que los datos que ha introducido el usuario son correctos lo mejor es , como te ha dicho quike 88, emplear una variable de sesion.

Las variables de sesion se almacenan en el servidor, lo que quiere decir que el usuario no tiene acceso directo a ellas, el usuario solo recibe una id de sesion que es identificada por el servidor ,por esto , este tipo de datos como el identificador de usuario que utilizas para proporcionar acceso a la BD debe estar en el servidor para asegurarte de que no ha cambiado.

Una pregunta, ¿el nombre de usuario es unico ?, ¿no puede haber dos usuarios con nombre repetido?, lo digo porque en tu consulta supones que solo va a haber una fila coincidente, pero si el nombre de usuario puede repetirse, es posible que compruebes la contraseña y no coincida, o incluso que obtengas por error la cuenta de otro usuario (podrias obtener por error un id distinto de un usuario con nombre similar, para evitar esto deberias comprobar en la consulta sql que se cumple que usuario = $user y que password = $password , eso si es imprescindible que filtres las entradas del formulario. mediante addslashes() y stripslashes() para evitar la inyecccion sql.

Espero no haberme extendido mucho ejjejeje un saludo.