debes hacer un SELECT from tabla where user='usuario' and pass='password'
si existe usuario
header(Location: panel.php);

Y para que nadie pueda entrar directamente sin el user y password, trabaja con sesiones, tienes unos tutoriales muy buenos en las FAQ's