Hallo,

durch was besticht es denn?
  durch das hier?

oder doch eher durch sowas:

$username = trim($_POST['username']);

$check_abfrage = "SELECT id, username, passwort, aktiv, lastvisit, cookie_modus, cookie_zufall, pw_update FROM $userdb WHERE username = '$username'";

>   ich weiss ja nicht wie das bei php5 jetzt läuft und ich habe auch nicht weiter nachgeschaut, ob du die variablen vorher noch überarbeitet hast, aber das wäre so ein schönes Ding für SQL Injection.  

Alle Variablen vom User (post, get etc.) werden vorher per addslashes(); maskiert.  
  
Bzw. ein Script simuliert magic\_quotes\_gpc => ON sofern es auf Off steht.  
Dadruch sind SQL-Injections nicht möglich.  
  
Grüße  
Andavos