Dovresti controllare ad ogni accesso alla pagina, se quella "SESSIONE" (e quindi utente) è già presente in una tabella utenti_online.

Se presente non fai nulla, se non presente lo inserisci..

Ovviamente in questa tabella metti anche un temporizzatore, così ad ogni accesso fai anche un controllo...

Se è presente fai un update del temporizzatore, altrimenti dopo un TOT elimini il record dal DB