Las variables de sesion no se pueden alterar fuera del servidor, sin embargo hay manera de burlar la seguridad.

Cuando usas session_start(), PHP envía al cliente una cookie con una clave de identificación que le permite recordar la sesión.

Si alguien, durante ese instante, está vigilando las comunicaciones del cliente, puede capturar la cookie, reemplazarla en su propio navegador y "fingir" ante PHP que se trata del mismo usuario... esto sería una usurpación de identidad.

estaba por mencionarte que guardar el estatus de login de un uusario en base de datos no es una idea ridícula, ya que es una de las formas para evitar el robo de sesiones si se usa junto con una cookie extra de identificación.

Por la red encontrarás muchos manuales que explican como crear "sesiones seguras en PHP"