למה לרוץ על כל המשתמשים במסד ולא להשתמש ב-WHERE?
PHP קוד:
$query = "SELECT * FROM `users` WHERE `username` = {$_POST['username']} AND `password` = md5({$_POST['pass']})"
* שים לב שלא ביצעתי escaping למשתנים - צריך לבצע (או להשתמש בPDO עם prepare statement)
אחרי שהרצת את השאילתה, תבדוק אם היא החזירה תוצאות - אם כן, המשתמש התחבר בהצלחה עם הסיסמה והמשתמש, אם לא - או שלא קיים משתמש או שהסיסמה לא נכונה.
אגב, הטעות המקורית שלך נמצאת בתנאי הזה
PHP קוד:
!md5($_POST['pass'],$row['password'])
צריך להחליף ל
PHP קוד:
md5($_POST['pass']) != $row['password']