Sul discorso « ottimizzerò dopo che funzionerà » ti darei ragione (guarda la mia firma) se fosse programmato bene.

Usare global quando il linguaggio ti consente di passare dei parametri non è programmare bene. Non so se questo progetto e per hobby o per lavoro ma fatto com’è adesso sono sicuro che quando funzionerà non farai le modifiche perché ti renderai conto che è un casino farle.
In informatica quando una cosa è concepita male sin dall’inizio lo rimane per sempre. E ogni modifica andrà ad ampliare il caos.
Credimi anche se programmo da soli 30 anni da professionista.

Comunque.
Hai messo un <title> all’inizio dei file. Questo fa si che quei caratteri vengono mandati al browser. Mentre quando si usa header non si deve mandare nessun carattere prima di header. Vedo poi che usi header altrove dopo avere mandato dati al browser.
Poi usi $_SESSION[‘username’] in un file e dopo $_GET.
Non parlo della password in chiaro o dei dati messi in tabella senza controllo.