Das kann Ich leider nicht ändern.

Halte ich für ein Gerücht, du weißt nur (noch) nicht wie es zu ändern ist.

(glaube Ich)

Immer diese verdammten religiösen Fanatiker :p

Dieses falsche "&" scheint PHP (oder wer auch immer) selber einzufügen.

Einerseits wäre debugging angebracht - PHP tut nichts von alleine, irgendwer muss die Variable $sessionstringadd befüllen, andererseits liegt es daran, die Dinge kontextspezfisch zu maskieren - in diesem Fall mit htmlspecialchars()

Weiteres solltest du dich nicht auf das vorhandensein von short_open_tags verlassen und anstatt <?=$foo;?> lieber <?php echo $foo; ?> schreiben ;)