Злоумышлинник может создать переменную сессии только тогда, когда скрипт это позволяет.

Проверять надо обязательно, так как туда могут попасть вредные букафки пользователей-хакеров, или даже рпостые штучки, которые могут нарушить работу скрипта.

Допустим, хакер ввел такой ник: '); DROP TABLE `users`; DROP TABLE `user`;
Но а пароль - пуст.
И ты будешь вставлять его логин в БД:

mysql_query("INSERT INTO `users` (`login`, `passw`) VALUES ('$login', '$passw')");

У тебя получается такой запрос:

INSERT INTO `users` (`login`, `passw`) VALUES ('', ''); DROP TABLE `users`; DROP TABLE `user`;

Конечно, примитивный запрос, и так далее, но вполне это SQL-Inj и он приведет к удалению таблиц.

Не факт что мой сработает, но есть хакеры покруче.

И так далее.

Да блин, вы меня не поняли) проверку переменных я провожу) это понятно что до записи чего то в переменную сессии нужно его проверить) я про то что казалось бы сессию может создать только код в скрипте который написал я лично и следовательно создав такую переменную ее проверять нет необходимости так как до ее создания я его проверил на корректность. Вопрос - после проверки переменной и записи ее в переменную я могу могу быть уверенным что значение сессии хакер не поменяет?)