restricción de usuarioscon php y mysql

<?php 
if (!isset($PHP_AUTH_USER)) { 
header('WWW-Authenticate: Basic realm="Acceso restringido"'); 
header('HTTP/1.0 401 Unauthorized'); 
echo 'Authorization Required.'; 
exit; 
} 

$fich = file("http://localhost/passwords.txt"); 
$i=0; $validado=false; 
while ($fich[$i] && !$validado) { 
$campo = explode("|",$fich[$i]); 
if (($PHP_AUTH_USER==$campo[0]) && ($PHP_AUTH_PW==chop($campo[1]))) $validado=true; 
$i++; 
} 

if (!$validado) { 
header('WWW-Authenticate: Basic realm="Acceso restringido"'); 
header('HTTP/1.0 401 Unauthorized'); 
echo 'Authorization Required.'; 
exit; 
} 
?> 
<html> 
<head> 
<title>Pagina protegida</title> 
</head> 
<body> 
Ha conseguido el acceso a la <B>zona restringida</B> con el usuario <?php echo $PHP_AUTH_USER?>. 
</body> 
</html>

<?php
	@session_start();

	if($_GET['salir']=="1"){
		$_SESSION['login']="";
		@session_destroy();
	}

	if($_POST['user']!="" && $_POST['pass']!=""){
		$dbhost = "localhost";	// pondremos nuestro host
		$dbuser = "root";	// nuestro usuario...
		$dbpass = "";		// y nuestro pass
		$db = "ciudadporno";	// el nombre de la BD
		@mysql_connect("$dbhost","$dbuser","$dbpass") OR die("ESTAMOS TENIENDO DIFICULTADES AL CONECTARNOS CON LA BASE DE DATOS, SEPA DISCULPAR LAS MOLESTIAS"); // conectamos a la BD
		@mysql_select_db("$db");// Seleccionamos la BD

		$SQL = @mysql_query("SELECT * FROM users WHERE user='".$_POST['user']."' && pass='".md5($_POST['pass'])."'"); //sino usas md5, quita esa funcion
		$ROW = @mysql_fetch_array($SQL);
		if($ROW['user']!=""){
			$_SESSION['login']="1";
			$_SESSION['user'] = $_POST['user'];
		}
	}
	
	if($_SESSION['login']!="1"){
		echo '<form action="" method="POST">
		User: <input type="text" name="user"><br/>
		Pass: <input type="password" name="pass"><br/>
		<input type="submit"></form>';
		die();
	}

	echo 'Contenido secreto :D';
	echo '<br/><a href="?salir=1">Salir</a>';
?>