Hallo Malte,

$username = addslashes(htmlspecialchars($_POST['username']));
$password = addslashes(htmlspecialchars($_POST['password']));

Warum verwendest du auf einmal addslashes() statt mysql_real_escape_string()? Warum verwendest du hier htmlspecialchars()?

$sql ="SELECT id, username, password FROM user WHERE username == ".$username." AND password == ".$password."";

Schau dir bitte nochmal an, wie Vergleichsoperatoren bei MySQL aussehen, außerdem fehlen die Anführungszeichen um die Werte.

$result = mysql_query ($sql) or die(mysql_error()); ;

warum stehen hier zwei ; am Ende der Zeile?

Grüße aus Nürnberg
Tobias