Moin!

ich hab ein sehr komisches Problem wo ich den Grund leider nicht finden kann.

[…]

<input type="hidden" name="UserID" value="<?php echo $_GET['UserID']; ?>">

Dieses Problem ist nicht komisch, aber gefährlich, da über den URL-Parameter jeder beliebige (HTML- oder Javascript-) Code eingeschleust werden kann. Kennst du noch nicht die Funktion htmlspecialchars?

Viele Grüße,
Robert