@Julius: Du solltest noch mysqlrealescapestring() o.ä. nutzen. Es kann sonst ganz böse ausgehen, wenn der Benutzername im Session-Array ein Hochkomma enthält. Wenn ich das richtig sehe sind so problemlos SQL-Injections möglich.

Wenn du die Strings vorm Zuweisen des Session-Aeeays escapest, dann ist das natürlich in Ordnung. Doch das ist nicht ersichtlich. Daher der Hinweis.

Grüße, Matze