Pero lo sigues haciendo mal, ¿qué parte no entiendes?
Código PHP:
Ver original// MAL
$stmt = $con->prepare("SELECT * FROM usuario WHERE pass='".$_POST['user']."'");
// BIEN
$stmt = $con->prepare("SELECT * FROM usuario WHERE pass=:pass");
$stmt->execute(array(':pass => $_POST['user
']));
Si no lo haces de esa manera tus consultas seguirán siendo vulnerables, y entonces usar PDO sería una completa pérdida de tiempo y recursos.