Ho appena finito di realizzare una mia piccola area riservata, con queste caratteristiche:
- multiutente
- user e pass vengono registrati in un db (pass tramite md5)
- all'interno delle pagine dell'area riservata, viene passato il campo "user" tramite sessione

Dal punto di vista della sicurezza, affidabilità, prestazioni - in ogni pagina è meglio:
1) controllare user tramite sessioni oppure
2) inserire user e pass (come sessioni) e fare un controllo tramite db?

se nn hai i permessi, come lo caccio fuori? tramite "header location"?

grazie per le vs. risposte, manca questa parte finale, la + importante