Сегодня один из пользователей Хабра указал нам на весьма неприятный эксплойт, благодаря которому определенного юзера можно было насильно разлогинить. Для этого достаточно было добавить в текст тег img с значением src=http://habrahabr.ru/logout/%имя_пользователя%/%любое_имя_файла%.jpg
А теперь — хрен! Отныне логаут-ссылка формируется с использованием не только имени пользователя, но и контрольной суммы, которая формируется не скажу как :)
Кстати, такой вот эксплойт присутствует на каждом втором сайте, так что имейте ввиду.