Claro, la 2ª opción es mejor.

Bueno, como veo que nadie responde exactamente a mi pregunta me daré por respondido y entenderé que no he dicho ninguna burrada de ahí que nadie me corrija, jejeje.

Por cierto webankenovi, en el código que pusiste anteriormente, ¿no tienes problemas con la regeneración del ID de sesión en todas las peticiones? Porque si se producen dos peticiones del mismo usuario casi simultáneas (doble click en un enlace, llamadas AJAX...) creo que ese código daría lugar a pérdida de sesión. Habría que implementar algo que almacene las últimas credenciales generadas con un par de segundos de margen para evitar el problema de las peticiones simultáneas.

Había leído algo de eso en algún lado... a ver si encuentro el enlace...