humz.... sarebbe meglio se quando fai il controllo della password (if($num = mysql_num_rows($query) == 1) {) metti in quella pagine le statistiche...
altrimenti fai
if($num = mysql_num_rows($query) == 1) {

echo "<body onLoad=\" launchwin('pagina.php?pwd=$_POST[pwd]&user=$_POST[user]','pop','toolbars=0,sc
rollbars=0,location=0,statusbars=0,menub
ars=0,resizable=0,width=300,height=200,l
eft=150,top=150')\">";
e dopo in pagina.php rifai il controllo (usando questa volta $_GET['pwd'] e $_GET['user']) e se la password e il nome utente sono giusti fai vedere le statistiche
però si vedrebbe in chiaro la password sulla barra degli indirizzi.. o nella cache del browser... quindi dovresti criptare la password...