っていうか、乗っ取りは考え出したらきりないけど
sessionで生成される桁数を考えたら、ループで回すのも大変だろうし
もし不安なら、こんなのもあるから、コレでほぼ大丈夫だと思うよ。
http://d.hatena.ne.jp/do_aki/20100319/1269021432
人的コストとレスポンスが遅くなるコストよりも、こんな対策も考えてみてはいかが?