Tach,

$pw = md5($_POST['pw']);

MD5 sollte als gebrochen bewertet und nicht mehr für neue Projekte genutzt werden, schon gar nicht ohne Salt.

$name = $_POST['name'];
$sql="SELECT userid FROM user WHERE username='".$name."' AND passwort='".$pw."' LIMIT 1";

http://xkcd.com/327/, jegliche vom Client stammende Kommunikation ist immer als bösartiger Angriff zu betrachten, bis das Gegenteil bewiesen ist.

mfg
Woodfighter