U moet de database controleren en opvragen voor een overeenkomst, niet de resultaten naar beneden halen en ze lokaal controleren. Dat gezegd hebbende:
$password = md5($_POST['password']);
Verander dan ook:
SELECT * FROM users WHERE username='$username' AND password='$password'
Maar ik zou ook eens kijken naar het gebruik van BOB
in plaats van de waarden rechtstreeks in een SQL-query te plaatsen. Je zou op zijn minst mysql_real_escape_string
om injectieaanvallen te voorkomen.