creo que se te olvidan 2 detalles:
1 - las sesiones utilizan una cookie (generalmente a no ser que se propaguen por GET, eso implica siempre pasar el SID (session ID))
2- ¿que pasa si el usuario recarga la página: session++, no creo que funcione?
además las cookies tienen tiempo de expiración, y la mejor forma de prevenir ataques
CSRF es usar tokens