Это возможно. Поскольку ваши два сайта находятся в одном домене, они оба получают значения Cookie и сеанса в каждом запросе, поступающем из браузера.И если вы использовали одно и то же имя ключа в сеансе для хранения вошедшего в систему пользователя, ваш код передал бы пользователю доступ к внутренним страницам, к которым должен обращаться только действительный вошедший в систему пользователь.
Что вы должны делать? Вам просто нужно изменить ключ родительского уровня переменной сеанса, в которой вы сохраняете данные пользователя, вошедшего в систему, и который вы проверяете, чтобы убедиться, что пользователь вошел в систему в состоянии IF.Это должно решить эту проблему.
Лучший подход Есть два лучших варианта, чтобы избежать этого:
1) Установите оба сайта в разных доменах.
2) По крайней мере, установите их в разных поддоменах.