Yo lo haria distinto, para empezar el metodo del form lo haria como POST, y no por GET por seguridad, porque sino vas a pasar los datos del usuario y clave por GET y cualquiera podria ver lo que estas pasando, asique eso es lo primero que cambiaria porque no esta nada bueno, y al ser post haria lo siguiente desde php:
Código PHP:
Ver original<?
include("conexion.php");
$usuario=$_POST['user'];
$clave=$_POST['pass'];
$consulta="select * from usuario where login='" . $usuario . "' AND password='" . $clave . "'";
// Si cumple el mysql_num_rows > 0 quiere decir que encontro al menos un resultado
// Esto es a modo de ejemplo, despues fijate que necesitas hacer con la session
$_SESSION['username'] = $usuario;
header("Location: index.php"); } else {
header("Location: login.php?error=1"); }
?>
Tambien te convendria trabajar la clave con algun tipo de encriptacion md5 o sha1 fijate.