bakınız http://www.php.net/manual/tr/session.configuration.php
session.save_path
"
Uyarı
Bu yönergeyi öntanımlı değeriyle bırakırsanız veya herkesin okuyabileceği bir dizin tanımlarsanız (öntanımlı olan /tmp gibi), diğer kullanıcılar bu dizindeki dosyaların listesini alarak oturum bilgilerini sunucu üzerinde kendi amaçları doğrultusunda kullanabilirler.
"
sizin sıkıntınız burdan kaynaklanıyor, değiştirin ve script dizininde bir dizine ayarlayın. güvenlik için public_html dizini içinde değil public_html ile aynı dizinde klasör oluşturun, session_save_path / ini_set fonksiyonları ile path yolunu değiştirin.