Las variables de sesión son guardadas del lado del servidor, la unica manera de manipular las variables es tener acceso al servidor, lo que si se puede hacer es "secuestrar" la sesión, pero esto es muy complicado, veras, las sesiones son guardas del lado del servidor, pero, el servidor necesita saber de quien es que sesión, por lo tanto, el servidor crea una cookie en cada cliente guardando en esta el SID o ID de la sesión, para secuestrar la sesión lo unico que se debe hacer es cambiar ese ID por otro ID valido, PERO no es tan sencillo como se lee, un ID de una sesión es alfanumerico y de por lo menos 32 caracteres, por lo cual, adivinar o sacar a fuerza bruta un ID de sesión es muy complicado y tardado...