Hi,
if($user) {
hast Du diese Variable vorher mit
$user = $_POST['user'];
initialisiert? Wenn nicht, gehst Du gerade ein evtl. nicht unerhebliches Sicherheitsrisiko ein.
$abfrage = "SELECT * FROM login WHERE username = '$user'";
Hiermit hat sich dies:
if ($user == $row[username]
erledigt, es ist implizit. Auf gleichem Weg kannst Du auch bereits im SQL-Statement dies:
AND $password == $row[password]) {
abfackeln.
echo "Benutzername und Passwort sind richtig.";
Testausgaben zum manuellen Vergleich:
echo $password
echo $row[password]
Wo hast Du eigentlich password definiert, und meinst Du nicht in Wirklichkeit 'password'?
Cheatah