I file di sessione vengono salvati su una directory temporanea del server, condivisa anche con altri domini presenti sullo stesso server. E' consigliabile modificare il path per il salvataggio delle sessioni con l'istruzione:

Codice PHP:
ini_set("session.save_path","percorso/mydir/"); // setting the temporary cookie session path
session_start();
// etc. 
e anche evitare la creazione di variabili di sessione contenenti username, password, etc... ma utilizzare una tabella su db la cui chiave primaria sia il SID, e che abbia altri campi corrispondenti alle informazioni di sessione che ti interessa gestire.