Bueno estos son mis consejos:

Podrías utilizar algunas funciones como p.e:

md5()
mysql_real_escape_string()
strip_tags()
stripslashes()
y validar tambien con expresiones regulares.

En los or die() de las consultas no pongas al subir la web el mysqlerror ya que provocando un error se consigue el nombre de lso campos y tablas.

Las sessiones... Bueno si en vez de poner cientos de ellas por cada campo sólo guardas la id del usuario es preferible. Si quieres obtener de nuevo esos datos te basta con hacer la consulta teniendo ya su id.