Con eso lees todos los registros de la tabla "usuario", te falta un WHERE documento = '{$_POST['documento']}'

Aunque eso te resultara un tanto inseguro, deberas usar mysql_real_escape_string() para evitar inyeccion de codigo y, despues de la consulta, primero verificar si existe el usuario con mysql_num_rows() y despues si el nombre y pass son correctos.