Perdonami, ma qui il problema è che non fai un corretto escaping dell'html che metti nella textarea: per capirci, è NECESSARIO che tu faccia:

<textarea name="pippo"><?=htmlspecialchars($valorechevieneda ldb);?></textarea>

e NON:

<textarea name="pippo"><?=$valorechevienedaldb;?></textarea>

e questo a prescindere dal fatto che tu usi o meno le sessioni... questo perchè qualsiasi testo che NON vuoi venga interpretato dal browser come html deve essere sotto escape per i caratteri speciali dell'html...

Questo avrà anche l'effetto collaterale di evitare che php aggiunga il SID ai link presenti in quel testo, visto che, appunto, non saranno interpretati come link, ma come puro testo.