El error principal que veo es que no usas los arrays supeglobales $_SESSION .. con ello ya tienes un problema de seguridad probable.
También redireccionas con HTML .. deberías hacerlo automáticamente con cabeceras HTTP directas:
header ("Location: default.php");
Todo ese HTML de ese script estaría de más .. debería ser un script de proceso PHP puro y devolver los mensajes de error a otro script para presentarlos. (sino tendrás problemas por ejemplo con la redirección vía header()
Puedes ver todo lo que te comento funcionando en este script:
http://php.cluster-web.com/autentificator
Un saludo,