Hallo benno,

require 'connect.php';
if($logged_in == 1)

wo kommt $logged_in her? (dasselbe fragt sich php mit "Notice: Undefined variable: logged_in in [...] on line 3" übrigends auch)

die('Sie sind bereits eingeloggt!,<b> '.$_SESSION['user'].'</b>. Go back <a href = "template2.php">HOME</a>.');

ähh.. wieso gibt es einen Fehler wenn jemand schon angemeldet ist?

if(isset($user_Set) and isset($pass_set)){

wo kommen die Variablen her?

header("Location: template2.php");

das ist kein gültiger header (Du musst eine vollständige URL verwenden).

mysql_close($con);

ähh... und wo hast du die Verbindung geöffnet?

stop;

was ist denn das?

if ($var=="login")

das ist die andere Variable bei der sich php fragt, wo die herkommt.

if($user=="" or $pass=="")

auf die Werte die von deinem Formular kommen, stehen in dem Array $_POST (da du method="post" hast), also $_POST['user'] bzw. $_POST['pass'].

$check = "SELECT user, pass FROM data WHERE user='$user'";
die Backticks kannst du weglassen, außerdem solltest du Sachen die von außen kommen immer entschärfen (z.B. mit mysql_escape_string())

$num_rows = mysql_num_rows($result);
if (!($num_rows))
Du solltest in deine Query auf "WHERE user=$user AND pass=$pass" prüfen - nur wenn bei diesem Query mysql_num_rows genau 1 ergibt, ist die Name/Passwort-Kombination korrekt.

die('Dieser UserName existiert leider nicht.');
die('Falsches Passwort, bitte versuchen Sie es noch einmal (vertippt?).');

diese Information würde ich nicht ausgeben - es erleichtert potentiellen Angreifern, das Herausfinden von Usernamen - dann kann er in Ruhe das Passwort herausfinden. Wesentlich schwieriger ist es nämlich wenn man nicht weiß, ob es einen Username überhaupt gibt.

$date = date('m d, Y');
$update_login = mysql_query("UPDATE users SET last_login = '$date' WHERE user = '".$_POST['user']."'");

das mit der Funktion date() kannst du dir sparen - dass kann mysql selbst (->http://www.mysql.de/doc/de/Date_and_time_functions.html)

Grüße aus Nürnberg
Tobias