sizin kodlarınızda POST koşulu yüzünden bir sıkıntı olmuş, sayfayı yenilemeden giriş yapıldığı anlaşılmıyor, istanbullili'nin attığı şekilde çalışıyor olması gerek. SQL açığı dediğide: mysql sorgusundaki değişkenleri mysql_real_escape_string ile filtreden geçirirseniz bir sorun kalmaz.