session_start();
$_SESSION['user']=$us;
$_SESSION['pass']=$pass;
и выдает ошибку, если каким-то образом передают неправильные символы,а если так папробовать,будет ошибка
$_SESSION['user']=md5($user . session_id());
$_SESSION['pass']=md5($pass . session_id());
и зделать проверку если пользователь решил заменить сессию неправильными символами
if(preg_match("/[^0-9a-zA-Z_]+/",$_SESSION['user'].$_SESSION['pass'])){
echo 'Некоректные символы в сессии
';
include 'inc/foot.php';
exit();
}