Salut,
$res = @mysql_query("SELECT userid FROM users WHERE userid='".mysql_real_escape_string($userid)."' AND password='".mysql_real_escape_string($password)."' AND level='registered'");
Les variables $userid et $password ne sont pas définies, tu devrais remplacer respectivement par $_POST['userid'] et $_POST['password'].
J'en profite pour soulever quelques points :
- C'est une très mauvaise idée de stocker les mots de passe en clair dans ta base de données, et dans pas mal de pays c'est même illégal.
- Ta variable $verified_user ne sert à rien du tout.
- A première vue la sécurité de ton système laisse à désirer, par exemple on semble pouvoir facilement faire du XSS.