mm .. guardar datos en un archivo de texto plano es rápido sí, pero .. hacer consultas a un archivo de texto plano donde debes leerlo secuencialmente .. no es de lo más optimo. Yo usaría igualmente Base de datos para tal fin.

Por lo demás .. .para evitar los problemas de que el usuario "se fué" del sistema no por la "puerta" (por tus "logout"), puedes usar en lugar de "flag's" fechas de ingreso al sistema y actualizar a cada petición (de tu páginas/scripts) ese tiempo para ese usuario, de esta forma podrás dar tiempos de expiración que consideren que el usuario si no hay actividad en X tiempo se considere que se fué ya.

Guardar el SID y compararlo no me parece buena solución para control de la "concurrencia" si hablamos como tal al problema de que una "cuenta": usuario/contraseña sea usada várias veces en X clientes diferentes. Recordemos que el SID es único para el cliente que las crea y el cliente no se refiere a la "cuenta" de tu sistema. De hecho si pruebas en otro PC la misma cuenta, el SID será diferente.

Un saludo,