así es, tienes razón... y en base a eso debes aplicar tu propio criterio, como las variable $_FILES la crea el sistema no veo necesidad de escaparla...

así mismo, $_SESSION la emplea el programador y no es accesible ni alterable por el usuario, de ese modo solo tu sabes en que momento es necesario escapar ciertas variables...

en todo caso si asignas una valor introducido por el usuario deberías validarlo mucho antes de almacenarlo, y no al momento de utilizarlo... he ahí el detalle!!