Umh, mi sa che hai ragione :master:

Comunque non avevo fatto caso che $sql non è altro che una stringa. Per "funzionare" come dicevo io, dovrebbe mettere:

$sql= mysql_query("SELECT username,password FROM ".$tbname."
WHERE username=('".$_POST['username']."')->Fields('username')
AND password=('".$_POST['password']."')->Fields('password')");