que pasa si un usuario pone como usuario admin y como password: passnovalida' OR '1'='1

La consulta quedaria:
SELECT * FROM users WHERE user = 'admin' and pass = 'passnovalida' OR '1'='1'

No necesariamente podria ingresar con algo tan sencillo, pero puede seguir intentando, probando diferentes combinaciones, hasta lograrlo.

Solucion: Antes de colocar cualquier dato introducido por el usuario en una base de datos debes escaparlo:

$usuario = mysql_real_escape_string($_POST['usuario']);