Определить, существует ли session_id (some-id)

Как насчет того, чтобы сделать что-то подобное в верхней части index.php?

// Update current userid/session record with current timestamp
mysql_query("UPDATE sessions SET last_activity = CURRENT_TIMESTAMP() WHERE user = '$username' AND sid = '".session_id()."'");
// Search for multiple records with timestamp in the last 20 minutes where user id is the same
$result = mysql_fetch_assoc(mysql_query("SELECT COUNT(*) AS current_sessions FROM sessions WHERE user = '$username' AND last_activity > '".date('Y-m-d H:i:s', time() - 1200)."'"));
if ($result['current_sessions'] > 1) {
  // handle duplicates here
}

Вам может не понравиться этот подход, поскольку он включает два запроса к БД при каждой загрузке страницы, но он должен работать и, вероятно, будет более эффективным, чем проверка файлов сеанса.

После комментария CodeCaster:

Вместо проверки идентификаторов сеанса PHP вы должны для каждого подключения/отключения пользователя и истечения срока действия сеанса поддерживать список подключенных в настоящее время пользователей (возможно, вместе со временем подключения, IP-адресом и т. д.), например, в таблице БД.

Таким образом, вы сможете обнаружить несколько соединений с одной учетной записью.

Вы также можете попытаться создать небольшой скрипт, перебирающий все файлы сеанса (если вы используете хранилище по умолчанию), использовать для него «unserialize()» и проверить, имеют ли несколько файлов сеанса одинаковые идентификаторы пользователя (при условии, что вы их храните в $_SESSION)

EDIT: поскольку это должно быть сделано для каждого пользовательского соединения, подход к таблице БД (например, что предлагает CodeCaster) кажется лучше.

Вам следует создать собственную реализацию Состояния сеанса, которая предлагает интерфейс для действий, необходимых для вашего варианта использования.

class SessionState
{
    public function idExists($id)
    {
        $gateway = new SessionGateway();
        $result = $gateways->searchById($id);
        # ... 
    }
}

Если вы реализовали детали, вы можете просто использовать объект(ы) в своем приложении.

Прежде всего, это было хорошим исследованием способов предотвращения обмена паролями.

Моя внутренняя реакция на отслеживание активности пользователей по каждому запросу (т.е. решение с двумя запросами, предложенное @DaveRandom) была ааааа, нет! Как указывает @CodeCaster, вероятный случай преждевременной оптимизации, но эй, у нас есть небольшая (несколько тысяч), но бешеная пользовательская база, которая будет очень довольна началом хоккейного сезона и получением результатов игры. На сайте есть работал быстро в течение многих лет, не хочу раскачивать лодку, это платная услуга, поэтому производительность должна быть отличной.

Хорошо, решение:

Пользователь apache имеет доступ для чтения/записи к файлам сеанса в каталоге сеанса. Записав session_id во время входа в систему, у нас есть ингредиенты для блокировки учетных записей с общим паролем. При успешном входе:

- Loop through stored session ids related to target account
- if /path/to/session-id-file not empty, increment login counter
- if login counter exceeds number of users allowed for a given plan:
- delete all session files related to target account
- lock the account and force a password reset

Накладные расходы минимальны, реализация — торт, проблема решена.

Примечание. Первоначально я думал, что невозможно получить доступ к файлам каталога сеанса без создания петли безопасности; однако это не так (по крайней мере, в моей стандартной настройке CentOS 5). Вы не можете получить идентификатор session_id, не связанный с сеансом текущего пользователя, но вы можете сохранить идентификатор сеанса данного пользователя и получить доступ к файлу сеанса, в котором хранится его сеанс, из сеанса любого пользователя (включая удаление файла). Ключ имеет идентификатор сеанса для поиска соответствующего /path/to/session-file