mi spiego meglio:

l'utente inserisce userid e password;
se esiste un record nel db mysql con le credenziali inserite viene creata la variabile di sessione
$_SESSION['autorizzato'];
all'accesso di ogni pagina viene controllata l'esistenza di questa variabile che se confermata da l'autorizzazione alla visualizzazione.

se l'utente va su un altro pc, senza aver fatto un precedente logout o senza aver chiuso il browser riesce a connettersi ugualmente. Vorrei che non fosse possibile questa cosa.

Saluti