creo que se te olvidan 2 detalles:

1 - las sesiones utilizan una cookie (generalmente a no ser que se propaguen por GET, eso implica siempre pasar el SID (session ID))

2- ¿que pasa si el usuario recarga la página: session++, no creo que funcione?

además las cookies tienen tiempo de expiración, y la mejor forma de prevenir ataques CSRF es usar tokens