Не всё так сладко как кажется, к сожалению, у меня не сохранилось ни скинов, ни самого аккаунта, ни разработок моих,(и всё после болезни соего винта.... ) но скажу я так, что через аватарку трюк прокатит. если только админ наркоман. Тут такая проблема, что сразу аватарку добавить нельзя, пока её не проверит лично админ, а в админке отображаются не сами картинки, а адресс к ним. Такой вот подлом. Тем более какой понт с сессии, если идентификация идет также и по кукисам.
Ещё была одна дыра, в поисковой системе(можно было нарушить структуру тега и выйти за его пределы). И хоть запрос ишел методом POST, т.е. не отображался в url строке, можно было сделать небольшой финт. Преводим весь сплойт в другую кодировку, и банальной СИ заставляем лоха вставить этот сплойт в запрос на поиск. Куки улетают.