Manipulieren höchstens wenn register globals eingeschaltet ist.

Ansonsten ist die Session komplett auf dem Server gespeichert und der Client hat nur die Session ID damit die verknüpfung zu den Daten hergestellt werden kann.

Was mir noch bekannt ist, ist das Session Hijacking.
de.wikipedia.org/wiki/Session-Hijacking

Ansonsten kommt es auf dein Script an, wie du die Daten der Session befüllst.

Wenn du so etwas machst, dann kann der Nutzer sehr wohl auf die Inhalte der Session Einfluss nehmen.




Edit:
Ich habe gesehen, dass bei dem Wikipedia Artikel bei "Siehe auch" auch ganz nette weiterführende Links sind, die dich interessieren könnten.

Ich bin auch eher vorsichtig was Sessions angeht. Allerdings benutze ich sie lieber als "Cookies".

Du meinst, dasss du die SessionID beim Client in einem Cookie speicherst?

Problemematisch wirds dabei, wenn der Client keine Cookies akzeptiert.
Bei den meisten Servern ist es so eingestellt, dass Cookies bevorzugt werden (session.use_cookies, session.use_only_cookies) , aber wenn keine Cookies akzeptiert werden, dass die Session ID mittels session.use_trans_sid automatisch an die URL angehangen wird.

Aber auch in einem Cookie ist die SessionID nicht vor z.B SessionHijacking sicher. (Stichwort XSS)