L'id di sessione (http://it.php.net/manual/it/function.session-id.php) è già univoco, perchè non usi quello? E poi perchè md5?