Для злонамеренного пользователя действительно ли возможно отредактировать $ _SESSION?

По умолчанию $_SESSION уже поддерживается cookie-файлом с именем phpsessionid (чтобы сервер мог идентифицировать клиента и связать его с одним из сеансов в памяти сервера). Если хакер знает значение куки-файла кого-то другого и копирует его в свой собственный куки-файл с тем же именем на том же домене/пути, то у хакера есть доступ к той же $_SESSION. Однако, значение cookie достаточно длинное и случайное, чтобы минимизировать риск перехвата сессии в течение получаса (таймаут сессии по умолчанию)

Если вы беспокоитесь о людях, изменяющих сессии (перехват сессий), посмотрите в session_regenerate_id()

$_SESSION хранится на Вашем веб-сервере, поэтому напрямую изменить его через интернет невозможно. Конечно, ваше PHP-приложение может обновить $_SESSION, так что злоумышленник все равно может обманом заставить ваше приложение сделать что-то с $_SESSION, чего делать не следует - все зависит от специфики вашего приложения.

$_COOKIE хранится в браузере пользователя, что означает, что пользователь имеет право изменять свои собственные cookies.

Одним из основных способов использования cookies является аутентификация. Пользователь входит в систему, а информация сохраняется в $_SESSION. Куки (хранятся в $_COOKIE) записывают идентификатор сессии пользователя, чтобы ваше приложение знало, какая сессия принадлежит зарегистрированному пользователю

Куки-файлы отправляются через пользователя-агента каждый раз, когда запрашивается страница. Пользователь-агент не обязательно должен быть браузером. Это может быть небольшой скрипт оболочки. Даже если это браузер, для Firefox есть расширение "edit cookie"

$_COOKIE содержит информацию, которую клиент отправил на ваш веб-сервер. Чаще всего это содержимое cookies браузера, но t может содержать ANYTHING, так что не доверяйте ему.