kurroman

Te faltó usar session_start() en todos esos scripts .. de hecho la validación que haces vía guardar el ID (SID) de sesión en una variable de sesión ya lo hace PHP al usar session_start: si exite (le llega propagado) un SID (Identificador único de sesión) válido .. continua con el (siempre que no esté en proceso de "garbage": expirado) y si no le llega un SID (propagado sea en cookies o por el URL) o no es válido, genera un nuevo SID.

Un saludo,