Hi,

if($user) {

hast Du diese Variable vorher mit

$user = $_POST['user'];

initialisiert? Wenn nicht, gehst Du gerade ein evtl. nicht unerhebliches Sicherheitsrisiko ein.

$abfrage = "SELECT * FROM login WHERE username = '$user'";

Hiermit hat sich dies:

if ($user == $row[username]

erledigt, es ist implizit. Auf gleichem Weg kannst Du auch bereits im SQL-Statement dies:

AND $password == $row[password]) {

abfackeln.

echo "Benutzername und Passwort sind richtig.";

Testausgaben zum manuellen Vergleich:
echo $password
echo $row[password]

Wo hast Du eigentlich password definiert, und meinst Du nicht in Wirklichkeit 'password'?

Cheatah