Массив $_SESSION - это то, что у вас хранится на жестком диске на сервере.
Пользователь может увидеть $_COOKIE.
У каждого $_SESSION есть session_id(), который кладется в $_COOKIE['session_id'] (ключ взял из головы, забыл как он называется). Теоретически, пользователь может подменить свой $_COOKIE['session_id'], на $_COOKIE['session_id'] другого пользователя, если его каким-то образом получит. Но по-сути, это эквивалентно тому, что злоумышленник, сел за ПК другого пользователя и использует браузер, чтобы делать, что-то там на вашем сайте.
Злоумышленник может скопировать куки, чтобы уже на своем ПК зловредить, но чтобы этого не произошло, вы должны ограничить время жизни сессии и\или вовремя генерировать новую. Как-то так, надеюсь помог.