Ja dati ir pareizi, izveidojam sesiju ar parametriem:
[*] 'id', kas ir tāds pats kāds ir datubāze (unikāls);
[*] 'password', kas ir hash'ota.
Vajadzības pēc arī 'time' (kas ir laiks timestamp'ā, cik ilgi jau lietotājs atrodas bez lapas reload / citas lapas, kura ir pārbaude, atvēršanas) 'user_agent' (pārlūkprogramma) un/vai 'ip_address'.
Pie jebkuras lapas ielādes pārbaudām, vai 'id' + 'password' kombinācija atbilst 'id' īpašniekam. Ja nē, tad unset( $_SESSION['user'] ).
P.S. Varam pārbaudīt, vai 'time' ngva "iztecējis". Teiksim maksimums ir 3600s. Vai pārlūks/IP nav mainījies... utml., pēc vajadzības.
'Remember me!', jeb cepumus arī izstāstīt? =D