Metti le condizioni di credenziali NELLA WHERE DELLA SELECT NON ESTRARRE TUTTI I RECORDS!
Scusa se urlo ma non puoi estrarre tutti gli utenti e poi ciclare per vedere se l'utente è presente!!!
fai:
codice:
select * from utenti where user = '$user' and password = MD5('$password');
poi verifica che il recordset non sia vuoto.

Inoltre dopo gli header metti sempre un die() altrimenti la pagina viene elaborata comunque fino all'invio di qualche dato.