Una pregunta genérica.
Me pregunto que método es mejor y más seguro para que usuarios que ya han hecho login, puedan navegar en zonas privadas de mi Web.

Supongamos que alguien ingresa su nombre y contraseña, y la base de datos devuelve que es correcto. A partir de aquí deberiamos:

1- Darle una cookie?
setcookie('username', 'Pepito', time()+60*60*24*365, '/');

2 -Crear una sesion?
session_start();
$_SESSION['usuario']='Pepito' ;

3-Controlar la sesion en la base de datos?
Creando una tabla "user_sessions" que controle la última entrada de un usuario en la página.

Dar una cookie me crearia problema de seguridad si navega desde un ordenador publico (o si su navegador no acepta cookies). Crear una sesión parece lo más lógico (aunque creo que las sesiones tambien usan cookies?). Controlar las sesiones con la base de datos, hace trabajar a la base de datos y no le veo la utilidad.

¿Alguien me puede explicar algo sobre el tema?
Tambien si algo algo que debería saber para no comprometer la seguridad.

Un saludo, Gracias,