Du bør tjekke og forespørge databasen for et match, ikke nedbringe resultaterne og kontrollere dem lokalt. Med det sagt:
$password = md5($_POST['password']);
Skift så også:
SELECT * FROM users WHERE username='$username' AND password='$password'
Men jeg ville også se på at bruge PDO
i stedet for at placere værdierne direkte i en SQL-forespørgsel. Du bør i det mindste bruge mysql_real_escape_string
for at undgå injektionsangreb.