Měli byste kontrolovat a dotazovat databázi na shodu, ne snižovat výsledky a kontrolovat je lokálně. S tím řekl:
$password = md5($_POST['password']);
Pak také změňte:
SELECT * FROM users WHERE username='$username' AND password='$password'
Ale také bych se podíval na použití PDO
místo umístění hodnot přímo do SQL dotazu. Přinejmenším byste měli používat mysql_real_escape_string
abyste se vyhnuli injekčním útokům.