php - PHP セッションを読むとき、`htmlspecialchars()` が必要ですか?

Question

htmlspecialchars()PHP セッションを MySQL クエリに送信する前に使用する必要がありますか?

悪意のあるハッカーは、自分のマシンに危険な SQL インジェクションを含むセッションを作成できますか??