»» Dieses falsche "&" scheint PHP (oder wer auch immer) selber einzufügen.
Einerseits wäre debugging angebracht - PHP tut nichts von alleine, irgendwer muss die Variable $sessionstringadd befüllen, andererseits liegt es daran, die Dinge kontextspezfisch zu maskieren - in diesem Fall mit htmlspecialchars()

ah... wunderbar

Habe die Stelle gefunden mit dem "&" und habe es in "&" geändert.
Jetzt sagt mir W3C wieder, dass alles in Ordnung ist. :-)

Danke für die Hilfe
Mfg, Sullivan