Moin @MarkusH.,

vorab: relevanten Code bitte hier posten, das erleichtert es ungemein.

Zu deinem Problem: Ich schreibe mal den Code deiner mysql.php an die Stelle in login.php, an der er inkludiert wird, vielleicht fällt es dann schon auf:

$verhalten = 0;

if(!isset($_SESSION["user"]) && isset($_GET["page"]) && $_GET["page"]=="log"){
    $user = strtolower($_POST["username"]);
    $password = $_POST["password"];

    # Beginn mysql.php
    $host = "localhost";
    $databank = "web";
    $user = "root";
    $password = "";
    $mysql = mysqli_connect($host, $user, $password, $databank);
    if($mysql->errno){
        die ("Fehler: Verbindung zur Datenbank fehlgeschlagen!");
    }
    # Ende mysql.php

    //$passwordstatment = mysqli_query($mysql, "SELECT password FROM users WHERE username = ?");
    
    $passwordstatment = $mysql->query( "SELECT password
            FROM users
            WHERE username = '$user'" );

Wenn dein $user wie beabsichtigt nicht überschrieben würde, hättest du übrigens eine hübsche SQL-Injection in deinem Query.

Viele Grüße
Robert