if ($username == $row['username'] && $pwd == $row['password'])
上記のSQLは判定済みではないでしょうか?
もっと厳密にする必要があります。ユーザーがバインドされているかどうかなど、他のロジックを if で判断できます。
もっと厳密にする必要があります。ユーザーがバインドされているかどうかなど、他のロジックを if で判断できます。