Ok, lo immagino.
Ma la mia prima paura, ora, non è il problema sicurezza, ma il sapere se un login fatto solo con le sessioni, quindi senza memorizzare in database se l'utente è online o no è fattibile o è fastidioso per l'utente dover effettuare sempre il login...