Создавать сессии только для залогиненых пользователей?

Храните сессии в Redis

ИМХО вы не в ту сторону копаете. Создание файла крайне дешевая операция, лучше оптимизируйте свой «битрикс»…

Следствие присутствия session_start() в начале скрипта таково: если клиент не поддерживает куки, то файл сессии создается на каждый запрос. А всякие роботы довольно часто куки не поддерживают.

Еще раз — на каждый запрос робота создается новый файл сессии.

Если у вас сессии хранятся, скажем, 24 минуты (по умолчанию), то это еще не очень сказывается. Но когда вы решите увеличить время хранения сессии до месяца, чтобы пользователя из корзины не выбрасывало, то довольно скоро у вас в tmp/ накопится под миллион файлов. В результате PHP при открытии страницы или очистке мусора будет работать медленно и ощутимо тратить ресурсы сервера.

Поэтому рекомендация такая: храните сессии для пользователей, которые сохраняют ваши куки. Ставим куку, проверяем на следующем запросе, есть ли эта кука, если есть — можно запускать session_start().

Вариант проще, без кук, и будет создаваться еще меньше сессий: создавать сессию только для того, кто авторизовался. То есть, пока не совпал логин и пароль пользователя, не запускаем session_start().

Всякие не очень важные данные, которые вам нужны для всех пользователей (например, город, из которого пришел пользователь), храните в куках.

Если у клиента есть куки с session id, значит клиент залогинен то запускать session_start()
Если куки нет — значит не залогинен, сессию не запускаем.

Если есть куки с ID сессии, значит, вы уже вызвали session_start(), а значит, файл сессии уже создался. Проверять нунжо как-нибудь по-другому (например, совпадением введенного логина и пароля, как описано выше).

Зачем незалогиненному sid? Я не говорю об оптимизации. Просто по логике. Не надо, не запускай.

Я не разделяю пользователей. Для всех стартует сессия и даются права. Для анонимных — минимум прав, для авторизованных — побольше.

А сессии вообще и в БД хранить можно, рекомендую.
Даже если сейчас для незалогиненых пользователей сессия не нужна, она может понадобиться потом, так что ИМХО стоит

Хочу посоветоваться, имеет ли смысл запускать сессию исключительно для залогиненых пользователей поскольку последних намного меньше?

На самом деле, так и должно быть почти всегда. Разработчки тех или иных веб-приложений так зачастую сами плохо представляют, что впустую созданная сессия до момента собственно аутентификации ни для чего не нужна. Для целей сбора какой-либо статистики посещения стоит изобретать решение, не зависящие от основной сессии: выставление куки для дополнительных субдоменов или конкретных путей сайта и т.п.
В случаях, когда, например, необходимо настроить кэширование ответов backend'а на сильно нагруженных сайтах, отключить создание сессии для каждого входящего — просто жизненно необходимо.

А совсем по-хорошему, кроме создания сессии только для залогиненных пользователей (что, вообще говоря, правильно), поставьте перед веб-сервером реверс-прокси — nginx или varnish (рекомендую последний), которые будут проверять наличие куки залогиненного пользователя, и в случае ее отсутствия выдавать контент из своего кеша. Таким образом, вы вообще не будете запускать PHP для незалогиненных пользователей.

Вот, например, как решается эта проблема в друпале (неважно, что у вас, принципы, скорее всего, те же) www.varnish-cache.org/trac/wiki/VarnishAndDrupal

Аутентификация лишь частный случай использования сессий. Вообще, если сессия не нужна, то и нет смысла ее стартовать. Но многие современные фреймворки делают это в целях унификации, благо стоит это действительно недорого.

Вам надо всю работу с сессиями инкапсулировать в отдельный класс. Тогда вы сможете легко менять механизмы хранения и создания сессий, не трогая остальное приложение.

Вам уже советовали хранить сессии в редисе, можно так же в БД их попробовать хранить.

Почему бы не попробовать, идея хорошая, по-моему.
Может будет немного выигрыша по быстродействию.