ho pensato di fare diversamente allora. Ditemi che ve ne pare:

Quando l'utente accede all'area riservata, al login viene creata una nuova sessione. Quindi controllo l'esistenza della directory e nel caso esista (vuol dire che alla sessione precedente non è stato fatto il logout ma chiuso il browser), ne cancello ricorsivamente tutto il contenuto...