Hola Gator:

En este caso la 'sesion del usuario' no es igual a la 'sesion php'.

Vamos que cuando se desconecta el usuario, no hago un session_destroy()

Solo borro todos las variables que se han establecido por el uso del sistema por parte de usuario menos de aquellas que controlan la seguridad.

Entonces el archivo ese del que tu hablas con todas la variables no se destruye...de hecho, haciendo pruebas si me desconecto con un usuario y me reconecto con otro las variables esas de 'control' siguen ahí impidiendome hacer cosas 'malas'.

No se si me explico, quizas no te entendi muy bien tampoco