Gestisco con le sessioni solo la parte di login: salvo in sessione un codice univoco che mi identifica l'utente (poi ho una tabella contenente gli utenti attivi al momento che mi lega il codice all'utente al suo id (da cui poi posso andare sulla tabella utenti per sapere tutto di lui) ed alle altre variabili che mi servono per gestire la sua visita oltre che per garantire un po' di sicurezza (salvo l'ip e l'user_agent e controllo ad ogni connessione che non siano cambiati)).

Come ulteriore sicurezza non uso il gestore di sessioni normale, ma ne ho creato uno (prendendo spunto da diversi esempi, compreso uno su questo forum) che salba i dati di sessione su db, così ho il massimo controllo sulla durata delle sessioni e sulla loro sicurezza
Okok sto capendo! in pratica salvo in una tabella gli utenti che si LOGGANO (oppure quelli che sono online ma non lggati?) usando un nuovo univoco chepenso prorpio sia il session id no? insieme a questo salvo anche il loro id per collegarmi alla tabella di tutit gli utenti registrati e anche altre informazioni. la parte che meno ho capito è questo gestore... che sarebbe? Grazie mille per l'aiuto