solo una observacion ... no revise todo el codigo pero si me percate de algo... que tu le dices al usuario si el "user name" es invalido o si el "password" no es correcto.....
Dar ese tipo de mensajes especificos de lo que el usuario ha ingresado mal no es bueno ya que le estas dando alguna pista a alguien mal intencionado, es mejor dar un solo mensaje de "usuario y/o contraseña no son válidos".

Eso lo lei en un articulo de seguridad... si lo encuentro lo posteo luego :P