No te preocupes, para eso estamos

Tan pesado como comprobar la variable de sesion y muuuucho mas seguro ya que eres tu quien define el tiempo de vida de la sesion y no dependes de los procesos en el servidor (siempre ajustados).

Por ej.
Con Sesiones:

if Session("user") <> "" then

Con QueryString

if comprueba(request("UID")) then

en la funcion comprueba haces el código de comprobacion del valor UID. Dicha funcion puede estar en un archivo comun para todas las páginas.

Como te puedes imaginar, es cuestion de gustos aunque tarde o temprano (mas bien temprano) el servidor empezará a recortar el tiempo de vida de las Session dependiendo de los hospedajes que tengan en el equipo (no es lo mismo para un procesador 10 sitios web que 100)

Por otra parte, con el método antes descrito haces uso de la BD pero MySQL, MSSQL, Oracle, etc soportan muchos mas ataques (accesos) que un Windows server 2003

Recuerda que en el momento del diseño y estructuración de un sitio web debes tener en cuenta muchas cosas, entre ellas la cantidad de accesos que se prevee: tendrás que elegir entre dejarselo al sistema (miedo me da) o crear tu propio gestor de sesiones. Tu mismo

Un saludo