No se refiere a las sesiones, si no a esto:
Código:
$this->user=$usuario;
$this->pass=$password;
$sql="SELECT *
FROM lista
WHERE user='".$usuario."'
AND pass='".$password."'";
Yo en vez de poner mi nombre de usuario podría poner por ejemplo "a OR 1=1" y comentar el resto y tu SQL haria un SELECT * sin condiciones xD. Investiga, como decían, sobre inyecciones SQL.
Saludos!