Трябва да проверявате и да заявявате базата данни за съвпадение, а не да сваляте резултатите и да ги проверявате локално. С казаното:
$password = md5($_POST['password']);
След това също променете:
SELECT * FROM users WHERE username='$username' AND password='$password'
Но също така бих разгледал използването на PDO
вместо да поставяте стойностите директно в SQL заявка. Най-малкото трябва да използвате mysql_real_escape_stringкод>
за да избегнете инжекционни атаки.