Под пользователем Вы имеете в виду не себя а постороннего? нет, он не сможет изменить переменные сессии. Многих новичков волнует вопрос - сможет ли кто-то посторонний каким-либо образом получить доступ к сессиям? Прежде всего, между вами и сессией долже стоять файл скрипта. Скрипт - это тот инструмент, (можно сказать интерфейс) который может изменить значение сессии. Если у человека нет доступа к скрипту, изменить сессию он не сможет. Отсюда совет фильтровать поля ввода в формах. Если образно и поэтично - скрипт, как и вода, может существовать в твёрдом и жидком состоянии. В твёрдом - это когда он имеет расширение php или pl, и поставлен на сервер Вами лично. Но скрипт можно тихонько залить на сервер и в "жидком состоянии", например в плохо фильтруемые поля форм...
Огромное количество хакеров промышляют этим. Лично Вашему сайту ничего не грозит при таком взломе. Уничтожать дойную корову глупо. Просто маленькая незаметная вставка будет исправно воровать клики и кидать лишнюю ложку икры на чужой бутерброд.