Arman

SQL-инъекции позволяют выполнять свой набор SQL-запросов, а это может быть как удаление всего нафиг и хорошо если будет свежий бэкап, так и изменение данных (дать кому админ права, начислить себе на счет лишний миллион и т.д.) бороться с этим нужно на момент запросов и это не так сложно

А если потом нужно будет показывать данные в приложении, которое ничего не знает про html?) вырезать будете?) перед сохранением еще есть смысл попробовать вырезать то чего точно не может быть под этим полем, но и то тоже нельзя усердствовать, лучше хранить как есть, а вот защищаться от xss нужно когда есть такая опасность, т.е. когда показываете данные юзерам

При запросах проверяем id сессии в куках, если нет, то шлем какую метку в куки, делаем переадресацию на себя + другая метка в гет, если есть метка гет и нет метки куков, то значит надо все передавать через гет и пост. Так я давно хотел делать для телефонов, но на практике у некоторых телефонах как раз таки глюки при работе, 10-15 запросов норм, а потом нет кук. Друг все перенес в гет и норм все заработало, исключение лишь в том что в ГЕТ теперь опасные данные.
На деле же все такие старые телефоны используют оперумини у которой нет таких проблем. Можно совсем забыть про id-сессии в гет, но при этом советовать оперумини если юзер зашел с какой очень старой модели

Самый быстрый и простой вариант - также хранить логин, а вместо пароля хэш пароля из БД, ведь там храните не в открытом виде? Если узнают даже хэш из БД, то узнать пароль сложно будет. Если сеть слушают, то и ключ сессии также можно спереть, надо все под https ставить.