ok ora credo finalmente di aver capito.
per fare una cosa del genere puoi fare un controllo sulla pagina dalla quale vieni, mi spiego meglio, se la password o l'userid è errato quando fai il redirect gli passi una variabile che ti dica che è già stato lì. Mentre nella pagina del form ci metti un bell'if: se la variabile è settata messaggio d'errore altrimenti no.