mm bueno Phobos .. al usar sesiones (guardandote el nick del usuario u otra variable "flag" de estado "identificado") NO se suele validar al usuario contantemente contra tu BD o sistema donde almacenees sus datos del "login" (usuario/password) ..

Esto es así por qué se "confia" en que la sesión permanece en el servidor .. y que es única para cada cliente que inicia su sesión (no es compartida por el resto de usuairos de tu servidor o de tu própia aplicación).

En un sistema controlado de usuarios hay dos procesos principales:

1) Autentificación:
Usar un formulario HTML .. u otros médios para solicitarle a tu usuario el par: identificador/password (nombre usuario, o lo que corresponda).

2) "Tranking" (o como se escriba) .. En castellano: "seguimiento" del usuario en tus páginas.
Ese "seguimiento" lo haces chequeando la existencia de esa variable de sesión que se creó al autentificarse correctamente en tu sistema (pasó la validación del punto 1).

Y ... bueno, el otro proceso importante sería el "loguot" .. o "salir del sistema". Para eso, se trata de "matar" la sesión activa (o las variables que validas su existencia en el punto 2). También interviene configuración del servidor (tema sesiones) para que la sesión expire automáticamente a cierto tiempo o al cerrar el navegador el usuario. (esto sería un sistema básico).

Un saludo,