Código PHP:
<?php
//CONEX CON TU BD
$ssql = "SELECT * FROM usuarios WHERE usr_login='".$_POST['administrador']."' AND usr_pass='".$_POST['constrasena']."'";
$rs = mysql_query($ssql);
if($row = mysql_fetch_array($rs)) {
include("ok.htm");
} else {
print "Datos incorrectos. Por favor intente nuevamente";
}
mysql_free_result($rs);
?>
Nunca le des detalles al usuario sobre si la contraseña o el nombre de usuario es "correcto o incorrecto", simplemente dile que algo anda mal y listo. Asi te evitas rollos con hackers.
Saludos !