Ciao.

Di solito lo username e' univoco. I dati di accesso sono gia' nel database. Puoi metterci a piacer tuo altri dati come l'ora dell'ultimo accesso o altro ancora che possa servire da statistica. Puoi anche fare una tabella dove associ ip <-> id_user.

Nel file di sessione personalmente memorizzo il nickname tanto per poter salutare o per chiamare lo user con un nome quando occorre, ed i privilegi. Se mi servono altri dati li peschero' tramite il nickname, il codice del privilegio servira' per autorizzare pagine od azioni.

Vuoi fare il complicato? memorizza nel file di sessione anche un hash formato da nick + privilegio. prima di ogni azione sensibile potrai verificare se nick e privilegio corrispondono all'hash immesso in origine.

E' un argomento trito e ritrito un molti threads. Tutti come se dovessero proteggere fort knox... Il problema non e' il file di sessione, ma e' l'utilizzo di password e nick altrui. Possono essere dei fuck ma saranno custoditi con ogni cura. La prima protezione e' una password non banale e tenuta segreta da parte dello user.