Szkoda, szkoda – zapraszam do zaglądania częściej i zgłaszania problemów – chętnie się z nimi rozprawię. ;]
Duża ilość userów nie jest tutaj problemem – w końcu dotyczy to tylko regenerowania sesji przypisanej do konkretnego użytkownika. Różni użytkownicy mogą po prostu w tym przypadku usunąć tylko własne pliki sesji, bo je będzie usuwała funkcja session_regenerate_id();.
Najbardziej skrajnym przypadkiem, jaki mogę sobie tutaj wyobrazić jest kolizja nowo wygenerowanego identyfikatora sesji z już istniejącym, w wyniku czego ten stary [należący do innego usera] zostanie nadpisany, ale to już raczej zupełnie inna sprawa. ;]