Beh, non è male come sistema di autenticazione. Basta inserire un nome utente qualsiasi e si è autenticati....

Forse bisogna cercare una riga nella quale il nome utente inserito corrisponda alla password.
Poi direi che non è sufficiente eseguire la query. Bisognerebbe verificare con mysql_num_rows che risulti una riga che corrisponde alle richieste.
Infine questo codice è vulnerabilissimo ad attacchi basati su sql injection