Se ti manda alla pagina errore vuol dire che l'IF ha il suo senso e nella query non trovi nulla, per cui
$numrows NON è UGUALE A 1 ...

posso sapere lo user e la password di test..?

se proprio aggiungi ai post
mysql_real_escape_string
ma non credo che sia quello il prob...
fai così per cui


codice:
$user = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

$sql = "SELECT * FROM tbl_cliente WHERE user = '$user' AND password = '$password'";
$result = mysql_query($sql);
$numrows = mysql_num_rows($result);

echo $sql.'
'.$numrows;

/*
if($numrows == '1')
{
session_start();
$_SESSION['login'] = $_POST['username'];
header('Location: tuapagina.php');
}else{
header('Location: errore.php');
}
*/
copia e incolla e dimmi cosa stampa...
altra cosa...
togli if (isset($_POST['submit'])) {

fai una validazione JS quando spedisci da form dei campi