Muchas gracias a todos, veréis, respecto a lo que decís de hacerlo por sesiones... Ya lo había penssado, pero piensa que el usuario podría borrar las cookies, y con ellas el identificador de sesión, otro tema es que la persona sólo puede entrar una sola vez, así que creo que haré lo siguiente:
El timeout lo hare son un settimeout() de JavaScript, pero obligaré al usuario a tener activado JavaScript no dejándole cargar la página de lo congrario (etiqueta NOSCRIPT), cuando entre un usuario, en la base de datos se registrará su entrada, prohibíendole volver a entrar, de esta manera, me ahorro la posibilidad de que el usuario haga un reload para reiniciar el timeout. ¿Qué os parece?