Muy bueno como dejaste el codigo, quitare $password y $username luego ya que por ahora como estoy trabajando mucho sobre login.php me deja mas facil de entender..

Y mas o menos entiendo lo que dices del .htaccess. Pero me quedo algo confundido..
¿Podrias explicarme un poquito mejor de como trabajar con algo asi? Es decir yo en sistema guardo mi config, el login y esas cosas pero luego como utilizo desde las paginas de "public"...
Y como se restringe el acceso a la carpeta sistema? O es solo una forma de decir?

Muchas gracias, encerio :D