io preferisco la seconda soluzione, anche se errata

se si usa il campo post direttamente non si deve nemmeno riempire il valore dentro session, oltre al fatto che va script

{$_POST['xyz']}

e non

$_POST['xyz']

all'interno di un testo altrimenti php, giustamente, sclera