En primer lugar, cuidado con las inyecciones de SQL !
Ahora, para responder a su pregunta, intente hacer esto en su lugar:
$query = mysql_query("SELECT `pass` FROM `database` WHERE `user` LIKE '" . mysql_escape_string($_POST['user']) . "';");
Estabas haciendo un par de cosas mal:
- usando el
=
operador en lugar deLIKE
operador - no incluir el valor en la consulta SQL con
'
- no incluir el índice de usuario en el
$_POST
matriz con'
PD:debe usar mysql_real_escape_string()
en lugar de mysql_escape_string()
!