entonces se me ocurren un par de preguntas

1 si el cliente tiene deshabilitada las cookies, no sirven las sesiones para autentificar??

2 no se que son los ataques XSS, podrias proporcionarme un enlace que hable del tema??
seguro que soy vulnerable

Y yo que pensaba que con mysql_real_scape_string solamente, estaba a salvo.

Un saludo, y Gracias GatorV, se aprende tanto siguiendo tus respuestas que a veces me pierdo, como ahora