tra l'altro

Codice PHP:
$query mysql_query($select) or die("Errore: " mysql_error());
$gruppo mysql_fetch_array($queryMYSQL_ASSOC);
if ($query) {
    .... 
E' errato: $query conterrà una risorsa anche se la select da zero righe. In breve la login sarà sempre valida, anche con username e password errati. dovresti fare l'if su $gruppo o usare mysql_num_rows per capire se l'utente è nel db