Hallo Tom,
der Code Kommt von Andavos, der mir zuerst geantworter hat.

Wenn man schon $_SESSION benutzt (was OK ist) dann sollte man auch $_POST benutzen

Wie meinst du das, etwa so:
$username = $HTTP_POST_VARS["username"];
$userpass = $HTTP_POST_VARS["userpass"];

Gruß Andreas