Тогда вот как эту проблему решить:
htmlspecialchars(сессия);
сравниваем с аналогичной htmlspecialchars("сессия") на сервере.
Вот и решение, ...
хотя при чем тут сессия, таким же помидором можно дать ссылку на любую печатающуюся в коде переменную и получить кукесы юзера для этого сайта, но правда если важная сессия сохраняется только в течении процесса это может сработать только если человек не закрыв браузер после администрирования зашел по этой ссылке ...
что же теперь htmlspecialchars\'ить все пременные? хм.. а чё!