Hi,

$sql = "SELECT ".
    "id ,username, password ".
  "FROM ".
    "user ".
"WHERE ".
    "(username like '".$_POST["username"]."') AND ".

^^^^^^

"(password = '".$_POST["password"]."')";
$result = mysql_query ($sql);

Warum like? mach stattdessen = denn wenn jemand %a% als username
eingiebt, und als pwd z.B. "password" und es giebt einen usernamen in
dem ein a oder A vorkommt z.B. bei "Hans" und dieser hat das pwd
"password" dann ist derjenige als dieser eingeloggt, das ist eine
sicherheitslücke, meines Errachtens nach zumindest. AFAIK wird auch bei
einem = zwischen groß und kleinschreibung nicht unterschieden.

MfG