Роман Назаркин

Из всего изложенного выше - наиболее оптимальным вариантом вижу хранение в сессии сериализованного(json_encode, serialize) массива из ID(или логина, при условии его уникальности) юзера и хеша пароля. При смене пароля - все старые сессии отпадают.

Категорически не рекомендую и использовать проверки по IP и User Agent.
При проверке по IP - отпадают пользователи на динамических IP(это те же мобильные операторы).
При проверке User Agent - сессия будет слетать при каждом обновлении браузера(т.к. User Agent в этом случае тоже меняется). А все современные браузеры обновляются очень часто и в автоматическом режиме.

Еще как вариант(более параноидальный) - можно генерировать рандомный хеш sha256(или sha1, md5, без разницы), заносить этот хеш в бд рядом с ID юзера. Затем записывать пользователю две куки - с id и с этим хешем. При посещении проверять эти два параметра.

Элементарные PDO prepared statements + var_filter обеспечат вам практически максимальный уровень безопасности. Для одной только регистрации пользователя тянуть целый фреймворк - бред полный.

К тому-же не исключено, что могут быть дыры и в самом фреймворке, только вот об этом кроме вас узнают еще, как минимум, все остальные пользователи этого же фреймворка..

Своя система регистрации в этом случае куда более безопасна.