Bueno no se si te valdra, pero ¿has probado a hacer unsset($_POST['login']) y de la clave una vez que ya has comprobado que el usuario está autorizado?

Saludos