Hi,

Soweit kommt er gar ned, er vergleicht die eingegeben daten gar ned mit den beiden variablen

Wie soll er das auch, wenn du ihm das nicht sagst? Die einzige Stelle, wo etwas annähernd richtiges steht, ist:
$PHP_AUTH_USER = ociresult($p,"NACHNAME");
$PHP_AUTH_PW = ociresult($p,"PASSWORT");

echo "username: ".$PHP_AUTH_USER."<BR>";
echo "password: ".$PHP_AUTH_PW."<BR>";

Allerdings weist du hier den (bei register_globals off undefinierten) Variablen $PHP_AUTH_USER und $PHP_AUTH_PW die ganze Zeit die Ergebnisse deiner DB-Abfrage zu. D.h. am Ende der while-Schleife stehen die "Credentials" des letzten Users aus der Datenbank in den Variablen.
Danach folgt sofort if (!$auth), was gar nicht wahr sein kann, da du es nie angerührt hast nach deinem Aufruf von $auth = false.

Du solltest eher den $PHP_AUTH_USER in die WHERE-Klausel der Datenbankabfrage einbeziehen und dann sagen:
if (ociresult($p,"PASSWORT") == $PHP_AUTH_PW)       // noch besser über crypt!
   $auth = true;

Der Yeti