$password = $HTTP_POST_VARS['password'];
Warum benutzt Du außer $_POST immer noch die (total veraltete) Variable $HTTP_POST_VAR?
$query = "SELECT * FROM users WHERE pass='$password' AND user='$user'";
$result = mysql_query($query);
while($row = mysql_fetch_array($result)){
Hast Du hier mal überprüft, ob die Anfrage überhaupt irgendeinen Treffer gibt (sprich: wird die while-Anweisung wenigstens einmal durchlaufen?).
Und: wieso machst Du überhaupt eine while-Schleife? Wenn es mehrere Treffer gäbe, so würde ja jeder Durchlauf das Ergebnis von davor überschreiben!?
Mit der Funktion mysql_num_rows() (siehe
http://de2.php.net/manual/en/function.m ... m-rows.php) kannst Du überprüfen, ob und wieviele Treffer die Abfrage vorher überhaupt gebracht hat.
Das Script sieht so aus, als wenn Du es aus verschiedenen (teilweise neuen, teilweise uralten) Vorlagen zusammenkopiert hättest - weißt Du eigentlich auch genau, was da im einzelnen passiert?