$_SESSION-arrayet som brukt her er i utgangspunktet trygt i så måte. Brukaren kan ikkje injisere informasjon direkte til det. No er for all del PDO best practice, men det vil ikkje sei at SQLi automatisk er eit problem om du ikkje bruker det.