Creo que a parte de limpiar los datos debes de evitar este problema de una manera más segura.
¿como?
Revisa primero si existe el usuario y después de esto verificas la contraseña, ESTO PARA EVITAR el AND y su posible infiltración de código.
Algo como..
Código PHP:
//Buscar usuario
$consulta = "SELECT usuario.usuarios FROM tabla WHERE user= '$usuario'";
$resultado = mssql_query($consulta);
$row = mssql_fetch_assoc($resultado);
//Ahora comparar contraseña con el usuario
if($pass==$row['pass'])
//
else
//