Yo diria que el problema no es las sesiones , sino controlar que el usuario no escriba caracteres especiales que puedan dañarte.

Hay varias formas , por ejemplo con STR_REPLACE o con mysql_real_escape_string.

Espero que te haya servido , mucha suerte.