bakınız http://www.php.net/manual/tr/session.configuration.php

session.save_path

"
Uyarı

Bu yönergeyi öntanımlı değeriyle bırakırsanız veya herkesin okuyabileceği bir dizin tanımlarsanız (öntanımlı olan /tmp gibi), diğer kullanıcılar bu dizindeki dosyaların listesini alarak oturum bilgilerini sunucu üzerinde kendi amaçları doğrultusunda kullanabilirler.
"

sizin sıkıntınız burdan kaynaklanıyor, değiştirin ve script dizininde bir dizine ayarlayın. güvenlik için public_html dizini içinde değil public_html ile aynı dizinde klasör oluşturun, session_save_path / ini_set fonksiyonları ile path yolunu değiştirin.