a parte il session_start() all'inizio io imposterei in questo modo:
Codice PHP:
 $user=mysql_real_escape_string($user);
$password=mysql_real_escape_string($password);
$query_sql"SELECT * FROM `tabella_registrati` WHERE nick='$username' AND pass='$password'";  
$result=mysql_query($query_sql);
 
if (mysql_num_rows($result) >0

$_SESSION['login'] = $username;   
}
else
{
  //login fallito