grazie per la risposta
si ecco, la terza soluzione è interessante

3) oppure fai da solo e quando un utente si connette salvi il momento dell'ultimo accesso su db e lo rinnovi ad ogni accesso, se per quell'utente (adesso - ultimo_accesso) > scadenza allora consideri l'utente out e elimini la sua sessione con session_destroy

ok, salvo il momento del primo accesso con un INSERT session_id
ma poi come faccio a rinnovare a ogni accesso e a salvare l'ultimo?
e come si imposta la variabile $scadenza ?
mi faresti qlc esempio pratico plz?
grazie!