Ti spiego dove stava il problema. Nel file che esegue il controllo sul form del login ho tolto semplicemente una cosa. Da

$hpw=md5($_POST['password']);
$result=mysql_query("select * from utenti where username='$_POST[username]' and password='$hpw'");

ho levato il controllo md5. Che qui non serve proprio. Quindi:

$hpw=($_POST['password']);
$result=mysql_query("select * from utenti where username='$_POST[username]' and password='$hpw'");

Ora funziona.