Los datos en $_SESSION no son tan accesibles como los de un $_GET o $_POST, no es posible introducir valores directamente. Sin embargo, alguien te puede capturar el ID de la sesión y actuar como si fueras tú.
Puede leer algo de esto buscando
session hijacking.
// Saludos