Cuando tu haces tu session_destroy() .. la session pasa al modo "garbage" esto es; "esperando el camion de la basura" el cual borrará la session fisicamente del servidor (el ficherito q se crea ..) Pero la session no es valida.

Si alguien conserva ese SID de sesione .. PHP no reconocerá como una session valida (un SID valido) y creará uno nuevo para la session en tal caso tu lógica de comprobacion de variables de la sesion ya actuará en consecuencia (es una sesision nueva).

Es tiempo lo determina:
session.gc_maxlifetime = 0
Si lo usas a 0 .. tan pronto se registra la session .. entra en modo "garbage" que vendría a ser = a "si cierras navegador" borra session (independiente de q tu borres antes la session haciendo un session_destroy() ..)

Si propagas el SID por cookies .. la cookie se le dá el mismo tiempo de expiración q a la del servidor .. Tambien puedes controlarlo tu a mano via la directiva:

; Lifetime in seconds of cookie or, if 0, until browser is restarted.
session.cookie_lifetime = 0

Creo q por defecto viene así en las configuraciones de PHP .. así q no te tendrias q preocupar de ese aspecto si propagas el SID por cookies ..

Un saludo,