Hallo Malte,

$sql ="SELECT id, username, password FROM user WHERE 'username == ".$username."' AND 'password == ".$password."'";

*ganztiefseufz* Du hast jetzt als Bedingung sowas drinstehen: "WHERE 'string' AND 'string'" - was soll MySQL deiner Meinung nach damit machen? Du willst wohl eher vergleichen ob in der Spalte username der Inhalt aus $username steht - also wäre "... WHERE username = '".$username."' AND ..." wohl richtiger (auch meinem Hinweis auf die Vergleichsoperatoren bist du nicht gefolgt).

echo "<meta http-equiv="refresh" content="0; ../../forum.php">";

nur so am Rande bemerkt: wenn du hier ' zum Begrenzen des Strings nimmst, tust du dir leichter weil die " im String nicht mehr maskiert werden müssen:
  echo '<meta http-equiv="refresh" content="0; ../../forum.php">';

Grüße aus Nürnberg
Tobias