if ($_GET['logout']

unbehandelte $_GET-Variablen sind ein Sicherheitsrisko.

Nana. Hier wird $_GET['logout'] lediglich darauf geprüft, ob es einen wahren Wert enthält. So lange es nicht weiter verwendet wird ist eine Behandlung obsolet, weil selbst bei einem $_GET['logout']="Hier steht was ganz böses!", nichts anderes passiert, als dass eine Session-Variable auf FALSE gesetzt wird. Ein Sicherheitsrisiko ist an dieser Stelle nicht erkennbar.

fred