Du bör kontrollera och fråga databasen efter en matchning, inte försämra resultaten och kontrollera dem lokalt. Med det sagt:
$password = md5($_POST['password']);
Ändra sedan även:
SELECT * FROM users WHERE username='$username' AND password='$password'
Men jag skulle också titta på hur jag använder PDO
istället för att placera värdena direkt i en SQL-fråga. Du bör åtminstone använda mysql_real_escape_string
för att undvika injektionsattacker.