Par défaut avec PHP installé comme module Apache, tout le monde à accès aux fichiers des autres sites. La directive "open_basedir" est là pour justement empècher ça. Sauf que de trop nombreux "hebergeurs" laissent également les sessions dans le dossier "/tmp/" ; commun à tous les sites.