Moin!

ob eine session aber noch _aktiv_ ist oder nicht, prüft php m.W. nicht anhand der tatsache, ob die zugehörige session-datei noch vorhanden ist, sondern anhand eines zeitstempels.

Nein, das ist falsch. Wenn du bei deinem Request eine Session-ID übermittelst (egal, wie diese entstanden ist: Per Cookie, URL-Parameter, ob "echt" oder manipuliert), dann lädt PHP beim Befehl "session_start()" die entsprechenden Session-Daten, egal wie spät es ist. Wenn keine entsprechenden Session-Daten gefunden werden, dann bleibt $_SESSION leer, ansonsten kommen die gespeicherten Daten da rein.

- Sven Rautenberg