Хеш в сессии он никак не сможет подменить, максимум сменить id сессию на другого пользователя, просто сверяйте пришедшие к вам данные (сделайте уникальное имя в каждом чекбоксе) со страницы с теми которые хранятся в сессии (пусть даже те же уникальные имена или их хеш), если совпадают то записывайте результат, если нет то нет. Но всегда удаляйте данные из сессии после валидации.
