Sugerencia: Primero haz el md5 de $pass y despues lo escapas con mysql_real_escape_string(), porque?, sencillo, imagina que la contraseña es abc'123", es muy posible que al escaparlo obtengas abc\'123\", con lo que el contenido ya no sera el mismo y el usuario no podra iniciar sesion, a menos que en el formulario de ingreso sigas el mismo orden... nada recomendado en ambos casos.