Wie soll er denn sonst den Member raussuchen? Bei einer Webanwendung mit DB-Anbindung, wo $username als Parameter kommt?

Mit mysql_real_escape_string().

$sql_befehl = "SELECT * FROM members WHERE userNAME='".mysql_real_escape_string($username)."'";