Dovresti controllare e interrogare il database per una corrispondenza, non abbassare i risultati e controllarli localmente. Detto questo:
$password = md5($_POST['password']);
Quindi cambia anche:
SELECT * FROM users WHERE username='$username' AND password='$password'
Ma darei anche un'occhiata all'utilizzo di PDO
invece di inserire i valori direttamente in una query SQL. Per lo meno dovresti usare mysql_real_escape_string
per evitare attacchi di iniezione.
