gracias por lo del ini_set habia leido que se tenia que configurar el php.ini pero no lo podia aser asi pk el sistema tiene k estar diseñado para red.
con lo del punto dos
me referia a que el usuario se logea, y luego por ejemplo abre otra pestaña y copia una url y puede entrar sin problemas.
pero ia lo solucione agregando a la parte de verificacion un tipo de usuario asi solamente puede ver lo que permite su perfil.

con respecto al punto 1 sigo con la duda.
Lo que sucede es que una vez que el usuario esta logeado.......
y abre otro navegador o broser (mozila a IE) esta la cuenta utilizada en el primero
puede logearse denuevo con el mismo login en el nuevo navegador de modo que la sesion esta funcionando en dos partes diferente.
Necesito aser una validacion onda como mesinger que cuando se inicia otra con el mismo usuario me envie una alerta y bloquee una de las dos.
lo intente asiendolo con una tabla en la base de datos en la que inserto los usuarios conectados y los elimino cuando cierran sesion( sesion_destroy()). el problema es que cuando cierran la ventana del navegador no destruye la sesion por lo que cuando vuelve a tratar de ingresar ya esta en la base de datos y queda bloqueado.
como se podria solucionar eso.
hay un evento que al abandonar la ventana se activa pero el problema es k al redireccionar = se activa, u.u