Mmh.. varias cosas.
1. Los indices asociativos de un arreglo deben ir entre comillas. $_POST['user'], $_SESSION'loquesea']
2. Estas dejando eso vulnerable a
inyección sql. Dale un ojo a funciones como
mysql_real_escape_string
3. En versiones mas nuevas de PHP, el uso de
session_register esta deprecado. Con que pongas $_SESSION['llave'] = $valor es suficiente.
4. Usa
isset y
empty para comprobar que haya valores enviados y que no esten vacios. Si te fijas en tu script estas comparando con dos espacios en blanco.
Saludos :)