Grazie per la risposta,
però ho ancora un pò di confusione.

per il momento ora non uso i cookie ma solo $_SESSION e la sessione la distruggo quando l'utente clicca su un determinato link per cambiare pagina.
Se invece la pagina viene chiusa dal pulsante chiudi del browser la sessione rimane in vita per il timeout prestabilito?

Quale deve essere una buona impostazione per il timeout della sessione?

Grazie mille