Не обязательно по таймеру. В момент, когда нужно знать, онлайн пользователь или оффлайн - просто берёте время последнего оповещения об онлайновости и сравниваете его с текущим. Если больше, скажем, 7 секунд - чувак оффлайн. 2 секунды на издержки)

А, чёрт, я понял о чём говорил kobezzza! Туплю, да. Короче, суть в том, что если есть злоумышленник, хоть чуток разбирающийся в web-технологиях, он может поставить время на таймер на 0 мс, и тогда ваш сервер может упасть. Особенно если окон открыть несколько.

UPD: А, то есть kobezzza говорил всё-таки не об этом...

Кстати да... Смотрите в сторону NodeJS. Тут mycoding делал где-то...

Чёрт, я тоже об этом и не подумал, но да ты прав:yes:

Ну я бы не советовал NodeJS, ибо насколько мне известно до сих пор нету нормальных хостов под него, можно взять другую реализацию, например phpDaemon, одна хрень, что и NodeJS только на php

http://habrahabr.ru/blogs/php/79377/

Но с другой стороны, если мы тут сейчас ещё и на ошибки безопасности начнём заморачиваться, то мы тут зазимуем)

С серверной частью все понял, спасибо.

А как с Ajax быть, я только сейчас подумал о перегрузке у меня еще два окна параллельно обновляются. Как не допустить подмены числа. Может на сервере как то проверять эти числа?

Какие числа?

секунды. Чтоб 0 сек. не смогли поставить
Я уже что то запутался...

AndreyS обрати внимание на ссылку, что я скинул, там люди как раз сделали чат в связке с phpDaemon и исходники там есть

На сервере смотришь, если запросы от одного ИП слишком часто идут - баниш его

Посмотрел.
Кто то пользовался этим, сложно или нет?
Недавно начал php фреймворками не пользовался еще, пока хватало.
Получается переделывать все придется(

Пример чата из статья поклацал не понял как он работает, там только цифры внизу меняются и все