Postea el codigo aqui mismo en el foro. De lo contrario no muchos podran echarle un ojo.

Acabo de echarle un vistazo ...
De que forma pueden violar la seguridad del mismo? ... Infinitas.

No validas los campos, tu script es vulnerable a XSS (Cross Site Scripting) y SQL Injection ...
Es super facil loguearse como cualquier usuario solo sabiendo su username.
Yo digo que demasiado simple.

Tampoco se para que cuando redireccionas a la pagina de login lo haces poniendo un querystring si ocurre un error y en tu script donde esta el formulario no recojes la querystring.
Guardas el usuario y la contraseña en una SESSION, cuando con el ID es mas que suficiente. Para que necesitas el Password en una session luego de haber logueado al usuario?