1. En la consulta a la base de datos no verificas si el password es correcto.
2. Debes verificar si esta enviando informacion con un if
3. Usa en la variables mysql_real_escape_string, para que verifique y converita todo caracter a string y no te pueda hackear tu pagina
o puedes usar htmlentities()
4. No le digas al usuario cual de las dos esta incorrecta, esto se presta para hackear cuentas. Mejor dile que contraseña o usuario no esta correcto.