no, non è la password del database, è solo la password dell'utente.
spiegato in parole semplici tu mandi una chiamata alla pagina "login.php?username=dax&pass=cacca" e i due dati sono in chiaro, se uno "sniffasse" la tua connessione potrebbe sgamarti la password. è un rischio debole, se non è un account con dati di carte di credito e simili puoi anche farlo.
ti serve poi un file php che faccia un'interrogazione al database cercando tale username e controllando la pass. se esiste -> ok, altrimenti -> errore!.
il tuo script riceve questa risposta, una semplice condizione SE e hai il login confermato.