Mucho ciudado don esta linea:

$_SESSION['lang']=$_GET['lang'];

es un agujero enorme de la seguridad de tu sitio...!

y peor aun por que luego incluyes la variable que puede tener codigo malicioso en tu

include("languages/".$_SESSION['lang'].".inc.php");
.