In der Zeile mit der SQL-Query fehlt ein " am Ende. Außerdem ist bei der if/else ohne {} ein ; zuviel. Der Session-Wert wird nie auf 1 gesetzt - damit auch nie das Login ausgeführt.
Da die Eingaben aus dem Formular weder geprüft
escapt werden, ist das Script für SQL-Injection anfällig.
Fehlende Quotes erkennt man sehr gut, wenn man einen Editor mit Syntaxhiglighting nutzt.
---
Weaverslave