Pues por ejemplo pasar la variable $pass por
md5() o
sha1() antes de enviarla a consulta.
Código PHP:
$usuario = $_POST['usuario'];
//para esto deberías tener la pass
//guardada de la misma forma en la base de datos.
$pass = md5($_POST['pass']);
$query = "SELECT id, usuario ";
$query.= "FROM TABLA ";
$query.= "WHERE usuario = '$usuario' ";
$query.= "AND pass = '$pass'";
Otra cosa es que deberías validar que llega a la consulta. Por ejemplo, si el usuario esperas que sea solo letras sin espacios (soyusuario), no debería traer "soy_usuario"
Con un simple
if( preg_match(..., ...) ) no dejas entrar la variable en la consulta. Evitando hacer consultas a la DB que son inválidas por si mismas.