if($user) {

hast Du diese Variable vorher mit

$user = $_POST['user'];

initialisiert? Wenn nicht, gehst Du gerade ein evtl. nicht unerhebliches Sicherheitsrisiko ein.

Was bringt mir der Befehl? Bzw. was bedeutet er?

$abfrage = "SELECT * FROM login WHERE username = '$user'";

Hiermit hat sich dies:

if ($user == $row[username]

erledigt, es ist implizit.

Jepp stimmt... war wohl n kleiner Denkfehler drin.

Wo hast Du eigentlich password definiert, und meinst Du nicht in Wirklichkeit 'password'?

Ganz unten im Script steht, dass ein Formular definiert wird. Dort sind 2 Eingabefelder enthalten, eines heisst $user und eines $password... daher kriege ich diese Variablen.

Grüsse
Mario