Debes usar sesiones .. por tu seguridad ..
Para eso ya validas la existencia y valor de tus variables de sesión .. SI ese usuario elemina tu SID (si es que lo propagas en cookies) .. Pues es sintoma que .. o tiene problemas con cookies o está intentando adulterar la aplicación ..
A veces es necesario acotar el tema .. y poner reglas. NO se puede hacer algo que cubra a todos los gustos y problemas de los usuarios .. Si lo avisas no tendras problemas.
Cita: cuando entre un usuario, en la base de datos se registrará su entrada, prohibíendole volver a entrar, de esta manera, me ahorro la posibilidad de que el usuario haga un reload para reiniciar el timeout. ¿Qué os parece?
Insisto .. eso ya lo puedes controlar con las sesiones .. Lo mismo que piensas "obligar" a que tenga javascript activado tu usuario .. es mejor decirle también que tenga activado el uso de cookies (por lo menos que autorize la que va a crear tu sitio por la propación del SID en tu uso de sesiones).
Un saludo,