Hallo Andi,

du solltest vielleicht noch $auth auf true setzen, wenn die Daten stimmen.

Soweit kommt er gar ned, er vergleicht die eingegeben daten gar ned mit den beiden variablen

Bitte versehe Dein Skript doch mit Kommentaren.
Der einzige Vergleich, der in Deinem Skript vorkommt ist in der ersten Zeile:

if($message_log=="Offline")

Freundlicherweise verrätst Du uns nicht, welchen Inhalt die Variable $message_log hat.
Welchen Zweck der folgende Code hat, entgeht mir ebenfalls.

Du führst eine Datenbankabfrage durch,
durchläufst anschliessend das Ergebnis
Da $auth auf jeden Fall den Wert "false" besitzt,
(siehe Yetis Posting)
bricht die Schleife beim ersten Durchlauf bereits ab,
nachdem Du entsprechende Header versendet hast.

Wie soll hier je eine Authentifizierung erfolgen?

Ich würde für den Benutzernamen/Passwortvergleich eine Funktion schreiben, mit etwa dieser Schnittstelle:

function bool_check_login

Übergabe: Benutzername, Passwort
Rückgabe: true, wenn Benutzername/Passwortkombination in DB vorhanden
          false, sonst

Ob Du die Benutzereingaben innerhalb dieser Funktion oder außerhalb dieser Funktion auf SQL-Injection prüfst, liegt an Dir.

Freundliche Grüsse,

Vinzenz