Ich habe die Session ja in der Datenbank, wenn ich die Session jetzt auch nochmal md5 verschlüsselt in die Datenbank lege und in an das Script den md5 hash schicke und mit dem in der Datenbank vergleiche, dann müsste das doch sicher genug sein, oder?

Eine SessionID sollte immer nicht vorhersagbar sein
Das ist quasi Basics.
Also in etwa so etwas:
$SID = sha1_hex( time() . rand() . $ENV{REMOTE_HOST} .'SALTSTRING' );

sha1 oder md5 garantiert keine Unvorhersagbarkeit. Diese wird aus time() . rand() einigermassen hergeleitet.

Aber ansonsten hat das äussere Gesicht der SID wenig mit besonderer Sicherheit zu tun. Hacker können immer vermuten, dass eine SID aufgrund von zu unzufälligen Inputdaten generiert wurde, und entsprechend vorbereitete Checksummen senden.

mfg Beat