noch ein nachtrag
mit dieser abfrage (musst du noch an dein db-design anpassen) bekommst du die anzahl der gefunden zeilen des resultsets zurückgeliefert.
prüfe das ganze mit >0 und du kannst so feststellen, ob diese kombination schon existiert.

z.b. SELECT count(*) from deinetabelle where userid="test" and passwort = "none"

wenn es sich um was wichtiges handelt solltes du die eingaben noch gegen sql injenction absichern.

gruß fz