Możesz trzymać informacje o tym czy user jest zalogowany w sesjach , możesz trzymać w bazie .
Mając info o tym czy user jest zalogowany w bazie , będziesz zmuszony do pobierania tej informacji z bazy .
Jeżeli oprzesz to na sesje to sprawa sprawdzenia czy user jest zalogowany jest znacznie prostsza , i moim zdaniem wygodniejsza
Co do bezpieczeństwa sesji ,hmm nie słyszałem żeby ktoś włamał się na jakiś serwis poprzez sesje