Nisam milsio na hes nego na proveru korsinickog imena i loyinek u upitu ovako, jer potencijaln moye da bude napadnuto kroy SQL injection.
sigurnije je uraditi
$q = 'SELECT id FROM user WHERE username = "'.$username.'";
A onda u dobijenom rezultatu proveriti da li je lozinka u slogu koji je izdvojen dobra (bolje je da je hesovana, naravno).