Per rendere il login più sicuro puoi anche fare cosi per evitare la sql injection.

codice:
$md5user = md5($_POST['username']);
$md5pass = md5($_POST['password']);
$sql = "SELECT * FROM utente WHERE md5(username)='$md5user' and md5(password) = '$md5pass' ";