Se supone que tienes que tener un control en la base de datos de los usuarios que están on-line, para ello debes de establecer un tiempo máximo pasado el cual se supondrá que si el usuario no ha realizado ninguna acción está desconectado.
Y entonces se trataría de condicionar el ingreso(login) de usuario evidentemente a que no se le considere actualmente conectado.
Para trabajar con esa tabla, se supone que tienes que trabajar con sesiones, y a cada carga de página de usuario actualizar en la base de datos el momento en que se realizó la petición con la función time() (que devuelve la fecha entimestamp).
De esta forma si se intenta hacer login a través de un usuario supuestamente conectado, cuya sesión no ha expirado, es decir si no ha pasado el tiempo que se considera que ha de pasar sin que el usuario actué para que se le suponga desconectado.
Esto no evitaría que el usuario se conecte un tiempo, cierre sesión y le pasé datos a otro usuario que se logueará, pero al menos no tienes dos usuarios conectados a la vez.
No sé si me he explicado muy bien, espero que al menos te sirva de partida.
sALU2 ;)