En teoría, es posible, pero, en la práctica, depende de varios factores, siendo el principal la falta de validación de entrada de datos; sin embargo, no es tan fácil lograrlo, el uso de sesiones en PHP es muy confiable, sólo sigue este consejo: Nunca confies en el usuario, porque los hay despistados y malintencionados, ambos pueden crear serios problemas en tu sitio.