[...] where username = '$username' and password = '$password'";

Paßwörter in Klartext abzuspeichern, halte ich für recht bedenklich. md5() ist das mindeste, was man bei einer datenbankbasierten Authentifizierung der Sicherheit zuliebe tun sollte.