Direi proprio che non è giusto!
Considera che con l'istruzione $_SESSION['password']==$query; tu di fatto rendi visibile la password esatta, quella che hai salvato nel database. Infatti la estrai per salvarla sulla variabile di sessione.
Per stare nel tema del tuo esempio i passi corretti sono:
1) $query = "SELECT password FROM utente";
2) controllo della condizione $password==$query
Quindi prima estrai la password dal database e confronti la password estratta (quella schematizzata con $query) con la password inserita dall'utente nel form di login.
Se coincidono puoi pensare di salvare un qualcosa come variabile di sessione.
In questo modo salvi la password a un utente che la conosce di certo, nel modo che proponi tu la salvi a chiunque tenti di fare il login.

Tuttavia ti consiglio di pensare di sostituire il salvataggio della password in chiaro nel tuo database con password trattate ad esempio dalla funzione MD5 di MySQL. Fai una ricerca sul forum per dettagli maggiori.