[code lang=php] $username = trim($_POST['username']); $password = trim($_POST['password']);

Besser. Prüfe aber vorher, ob $_POST['username'] und $_POST['password'] existieren ... if( isset($_POST['username']) ) ... und nicht leer sind.

$query = "SELECT * FROM user WHERE username = :USERNAME LIMIT 1";

Den Stern nicht verwenden. Du willst username und password. Teile das der Datenbank auch mit und teile es damit gleichzeitig Dir als Programmierer mit. Du wirst noch lernen, warum das vorteilhaft ist...

echo 'Passwort ok'; $message = '<p>' . LOGIN_INCORRECT . '</p>';

An den Stellen willst Du vermutlich im endgültigen Programm entweder einen Flag setzen ($bolLoginVerified=true|false) und später auswerten oder Funktionen aufrufen, die den Rest regeln. Ich würde im Falle eines nicht gelungenen Logins z.B. das Formular anzeigen und den übertragenen Benutzername gleich wieder eintragen

Jörg Reinholz