El tiempo de expiración que manda siempre en última instancia es:
session.cookie_lifetime
Pero .. si el SID es el indentificador único de sesión que "une" al "cliente" con el servidor y .. que en el caso de propagarse en cookies viaja en esa cookie (como valor) .. si pierdes el SID por qué la cookie expiró .. aunque el SID como tal y archivo esté en el servidor activo .. no te servirá de nada y no podrás recuperar lo que ese archivo de sesión creado en el servidor que lo identifica ese "SID".
Ahora .. si tu por A o B motivo .. hubieras leido tu cookie con ese SID y lo llamas .. (cuando la cookie expire) podrías recuperar los datos de esa sesión durante el tiempo de vida de la sesión: session.gc_maxlifetime .. Justamente para evitar problemas de seguridad por hacer eso .. desde hace ya unas cuantas versiones de PHP tienes a tu disposición la directiva: session.use_only_cookies que asegura que sólo se va a leer un SID de una cookie (del cliente que la creó) y además PHP guarda el "cliente" que la generó para extra-validación de la misma .. (por eso y algunos otros motivos son más seguras vs el detalle que debes avisar a tus usuarios que tus sistemas requieren de la habilitación de cookies en sus navegadores).
Una cookie de valor en el tiempo de expiración a 0 significa "cookie de sesión" es decir .. dura lo que el navegador (ventana) queda abierta .. cuando cierras todas (hasta la última) ventana de tu sitio .. la cookie (con el SID en ella) muere.
Cita: Otra cosa me imagino que al usar cookies lo de session_start(); en cada pagina igual va??????
Si, va igual. En la configuración de PHP tan sólo ajustamos "como" queremos propagar el SID
Un saludo,