Если вы имели в виду под ua userAgent, то да, при обновлении эта строка станет немного другой
"Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 YaBrowser/15.6.2311.3473 (beta) Safari/537.36"
Но не вся. Но про IP не понял, вы хотите сказать что ip может меняться при каждом открытии страницы. На сколько я знаю IP меняется при отключении/подключении сети интернет.
Я просто хотел сказать, что определять авторизацию только по кукам не безопасно. Допустим я авторизуюсь, мне выставляется кука с хэшем из БД, так же второй пользователь (злоумышленник) не введя логина и пароля просто подставляет мою куку и уже авторизован, то есть ему даже мой логин с паролем не нужен. Ну а если при запросе сверять не только хэш из кук но еще и ip и еще чего, то уже одной кукай злоумышленник не обойдется, но в таком случае не получится авторизоваться с нескольких устройств, потому как такие поля как ip будут обновляться, и пользователь с первого устройства просто разлогинется.
Может подход тоже норм, но все можно сделать проще, главное понять по какому критерию удалять не нужную запись, кроме даты конечно же. Например пользователь авторизуется а в БД есть две сессии, одна из них это авторизация на планшете, другая не нужная, и перед тем как создать третью мы удаляем второю, или же не удаляем а принимаем ее как свободную, но как определить что она свободная никем не используемая сессия )
не ну как удалить я знаю, я вот думал может их чистить в какой то определенный момент, например когда юзер авторизуется или еще когда, но вдруг пользователь авторизовался год назад, и тут он разлогинется, а пароль не помнит, и есть возможность потерять пользователя.
