bueno hice lo siguiente para mostrar el mensaje aunque no es lo mas optimo:

<script>
alert("El Usuario Digitado es Incorrecto");
document.location ="index2.php";
</script>

pues cuando ingresa un usuario que no corresponde, que no esta en la base de datos(en la tabla mejor) pues bien le manda un alert y despues que uno presiona en el boton el pues redirecciona a principal.

mi principal es index2.php

yo lo queria hacer de la otra forma, pero mientras es una buena solucion y ya le he probado la seguridad y vale, por que no se totea!!, jejjejejje, ni tiene falla de seguridad, hablando de esto, sabes algo de sql injection y de como arreglar esta falla a la hora de validar los datos hay algo que ayude alguna funcion en php que ayude a mejorar esta parte, he oido acerca de meter solo entre comillas simples los datos en la consulta es algo riesgozo pues no se que cosa en sql se concatena con algo y deja entrar al sistema y otras cuestiones, que he de tener en cuenta????