mesmo sem usuario e senha o acesso e permitido

<?php
 include('conectar_bd.php');

$user = $_POST['login'];
$senha = $_POST['senha'];

$consulta = mysql_query("SELECT * FROM cadastro WHERE login='{$_POST['login']}' AND senha='{$_POST['senha']}'");
$num_rows = mysql_num_rows($consulta);

 if($num_rows == 1 AND session_start()){

 $_SESSION['login'] = $_POST['login'];
 $_SESSION['senha'] = $_POST['senha'];
 header('location:defalt.php');

 }
 if($num_rows != 1){
 echo 'Acesso negado';
 }
?>

ai pessoal se eu colocar usuario e senha correto a pagina acessa.

se eu colocar usuario e senha errados nao acessa da erro Acesso negado!!

mas se eu deixar sem usuario e senha ele entra do mesmo geito.

eu to usando session mas estou destruindo com esse comando:

<?php

session_start();

 if(!isset($_SESSION['login']) AND !isset($_SESSION['senha']))
 {
 header('location:sub_index.php');

 }

 ?>

 

e ai gente vamos la como fazer uma verificação no $_POST['login'] e $_POST['senha'] e se nao tiver nada dentro dele negar acesso?