Cita:
Iniciado por Heli0s 
Dependiendo de lo que haga Filter_Text() podría tener buena seguridad o no, de todas maneras un bug que veo es que en la sentencia SQL Update estas usando el valor de $_SESSION['usuario'] en vez de usar el ID que conseguiste varias lineas arriba haciendo las comprobaciones necesarias.
Un saludo
Espera que yo también me entienda de aqui :
Código PHP:
Ver original$sql = mysql_query("SELECT id FROM users WHERE username = '".$username."' AND password = '".$password."' OR username = '".$username."' AND password = '".$password2."' LIMIT 1") or
die(mysql_error());
Sacar el Id correspondiente.
Y aquí actualizar la nueva password del id mas arrojado mas arriba.
Código MySQL:
Ver original$sql = mysql_query("UPDATE users SET password='".$new_password."' WHERE id='".$id."'");