Para lo de la seguridad asegurate de que el servidor tiene activadas las magic_cuotes.
De lo contrario creo que habría que hacerlo con alguna funcion.

Las magic cuotes protegen el sistema frente a ataques de inyección sql. Bastante frecuentes en estos casos... Su función es la de invalidar ciertos caracteres tipo / ' '' " % ...etc. generalmente usados en los ataques de inyeccion sql.

Nunca se recomienda hacer un select *, puesto que si no necesitas todas las columnas es tonteria, además de que de ese modo dejarías al hacker entrar en varias columnas y poder armar un bollete...

Por lo demás creo que está bien.
Suerte... yo también ando aprendiendo sesiones ahora... :(