хмм.. если есть переменные, и они считываются сайтом, - выходит их можно подменить. если нельзя, - можно попробовать провести sql inj прямо через сессию на этих переменных, т.к очевидно что они обращаются к базе. в чём я не прав ?