la query del file login deve avere come condizione anche la password e devi eseguire assolutamente l'escape delle stringhe
Codice PHP:
$query "select * from utenti where nome='" $user "'"// nn va bene