Una sicurezza buona. Credo che il metodo che hai esposto prima,con alcune aggiunte, possa andare bene:
-salvo la timestamp nel db appena si effettua il login
-in una variabile di sessione salvo l'id corrispondente al record salvato prima ( mi serve per aggiornarlo con la timestamp del logout, nella tabella degli accessi)
- con l'ip e l'id creo un hash, che salvo in un'altra variabile di sessione e nel database nella tabella di controllo accessi
-per ogni pagina controllo che l'hash salvato nella variabile di sessione sia uguale a quello nel database

Alla fine avrò due variabili di sessione, una contenente l'id della tabella accessi e una l'hash di controllo, e per ogni pagina dovrò effettuare una query per controllare l'hash.
Inoltre ad ogni logout cancellerò tutto il contenuto ( hash corrente e hash rimasti perchè non è stato effettuato il login) della tabella degli hash.

Come la vedete?