Secondo me non serve...l'array $_SESSION viene salvato sul server non sul client( Se non sbaglio viene solamente impostato un cookie con un session id ).
Quindi non vedo come possa manomettere l'array.

Poi c'è il caso in cui l'attaccante si impossessa del session id (di solito tramite XSS) ... ma lì c'è poco da fare