1 - consulte las políticas del foro, use la herramienta Highlight para mostrar código, edite el post

2 - lo usual es pasar un parámetro por GET o Sesión inidicando que hubo error, en la cual en la pagina de login consultes para mostrar el típico "Error de usuario y/o contraseña"

3 - nunca informes al usuario final el verdadero error en el login, por ejemplo si el usuario existe y marcó mal la contraseña, al darle el mensaje "contraseña fallida" estás indicando que el usuario si existe, lo cual le da ventaja a un potencial atacante, lo ideal es dejarlo con la intriga y mostrar siempre "usuario y/o contraseña inválido", además de bloquearlo por si lo intenta más de 3 o más veces