Originariamente inviato da luca__82
ok.
Ti confesso che lo mettevo dopo.
Lo metto quindi in ogni pagina in cui richiamo seession_start?
Se la sessione scade il cookie di sessione lato client viene cancellato automaticamente ( è impostato di default, ovvero vive finchè vive la sessione) ?
quando si dice che le vite della sessione sono due ... sono due.

Se la sessione scade per inattivita' lato server il file non e' piu' valido ma non viene cancellato. Passera' quando passera' il garbage collector. Semplicemente il file viene reso disponibile a questa entita' che ha compiti da basurero.

La sessione lato client e' per default valida fino alla chiusura del browser, senza limiti. Quindi se richiami la pagina con un cookie valido session_start() fa il suo lavoro. cerca un file di sessione con quel nome, lo trova se non e' passato ancora lo spazzino, ma vede che e' scaduto e ti rende un file di sessione vuoto. Lo puoi gestire (vedi come fa phpmyadmin) ed avvisare che a seguito di inattivita' l'utente si deve riautenticare.

Eventuali risposte incongruenti a questo stato potrebbero venire dalla cache del browser che ti potrebbe riproporre pagine obsolete senza essere in realta' aggiornato dal server.