Nel tuo codice c'e' prima una visualizzazione in HTML del Form. Poi successivamente vengono effettuati dei controlli e in alcuni casi spediti degli Headers. Ma questo non e' permesso se sono stati gia' inviati; infatti visualizzando in output il codice html, vengono gia' spediti gli headers automaticamente per visualizzare il form.
Quindi la parte di controllo va gestista separatamente dall'output.
Potresti indirizzare l'action del form ad un'altra pagina .php che effettua i controlli di autenticazione.

Il tuo errore comunque e' molto comune, potresti fare anke una ricerca nel forum.