Lo que no entiendo es para qué necesitás la cookie, por qué no simplemente guardás el dato de validez de la sesión en la sesión misma.

Nunca confíes en las globales, por esto: se procesan normalmente en modo EGPCS, es decir: ENV, GET, POST, COOKIE, SESSION

Con lo que, si tenés login tanto en cookie como en session, la que vas a obtener es la de session (ya que sobreescribirá la que viene de cookie)

Por otro lado, al crear una sesión estás (normalmente) creando una cookie, que se envía al navegador y solamente contiene el identificador de la sesión.
Esta cookie además tiene el mismo nombre que la sesión, por lo que, sea sesión o sea cookie, $_COOKIES['login'] estará presente.

Entonces, lo que resulta es que, abras o no abras la sesión, siempre estás enviando una cookie con nombre "login": Sería mucho más sencillo abrir la sesión siempre, y verificar que tiene los datos que necesita una sesión válida. Si los tiene, continúa, si no los tiene hacés un session_destroy().


Saludos.