Cose stupide (che quindi sfuggono spesso ):
1) invii setcookie prima di ogni altra istruzione nella pagina?
2) $app_user non è magari vuota (priva di valore)?
3) hai provato a modificare il valore temporale con uno fisso (tipo 100000) e prima ancora, magari, a scrivere un magic cookie (ovvero un cookie che vale solo x la sessione?)

Andiam, andiam, andiamo a debuggar...

(mi spiace se non ti sono maggiormente d'aiuto, ma il primo cookie l'ho scritto una settimana fa, non sono un esperto)

_YD