uando para redireccionar header y estas haciendo un echo no hagas el echo si no que directamente direcciona con el header y la consulta de la contraseña la hiciste al momento de preguntar por el usuario guarda el resultado en una variable de contraseña para q la valides x cierto seria bueno que para seguridad trabajaras las contraseñas encriptadas con alguno de los metodos de encriptamiento yo personalmente uso md5