Насколько я понимаю, сеанс хранится только на стороне сервера. Идентификатор пользователя (или идентификатор сеанса) для сеанса хранится в файле cookie или url. Таким образом, пользователь, даже если он или она является супер хакером, не может локально изменять любые переменные $_SESSION которые я использую на своем сайте, кроме идентификатора сеанса или идентификатора пользователя?
В большинстве настроек данные сеанса хранятся на сервере, а его идентификатор хранится в файле cookie. Если вы не играли с настройками или настраиваемыми обработчиками сеансов, это будет так, как вам.