Mientras no tengas algún problema en tu programación, no se pueden cambiar las sesiones, a menos que se tenga acceso al OS del WebServer (para alterar las sesiones en la carpeta temp), pero sí el hacker ya tiene acceso a tu WebServer, tienes otra clase de problemas.

Saludos.