Может ли злоумышленник установить для переменной $ _SESSION (в php) любое значение, которое он хочет?