[php] współdzielony panel administracyjny Opcje

[Barik]

Witam,
Mam problem z bezpieczeństwem a raczej na chwile obecną jego kompletnym brakiem, pisze mały generator który opiera się o współdzielony panel administracyjny utrudnieniem jest fakt, że Panel administracyjny zbudowany jest na podstawie okienek popup.
Na chwile obecną id_klienta (czyli folder w którym znajdują się media oraz plik config.ini) przekazuje w zmiennej, jej wartość określana jest na podstawie

Plik index.php w katalogu klienta zawiera tylko include pliku index.php z katalogu CORE oraz przekazywanie zmiennej określającej katalog użytkownika, tworzone jest również ciastko w którym za pomocą sha512 zachowywana jest jego nazwa.

Index.php w katalogu Core ładuje na samym początku:
../../core/application/Bootstrap.php

Bootstrap.php ląduje wszystkiche elementy w tym config.ini opierając się zmienna określającą katalog użytkownika, a jeżeli zmienna określająca katalog użytkownika jest pusta(taka sytuacja zachodzi w momencie ładownia Bootstrapa przez okienka popup) to pobiera listę wszystkich nazw katalogów użytkowników, hashuje je i porównuje z wartością zapisaną w ciastku.
I na tej postawie określa w którym katalogu jest plik config i gdzie ma zapisać media.

Problem polega na tym, że zalogowanie się do:
user1.domena.pl
automatycznie daje dostęp do
user2.
user3.

panel administracyjny działa na subdomenie
system.domena.pl

ciastko sesji generowane jest dla calej domeny
ponieważ w momencie wygenerowania dla każdego usera z osobna trace dostęp do panelu administracyjnego

Struktura:
--klient
----strona_klienta_1
-------index.php
-------config.ini
-------htaccess
-------media

----strona_klienta_2
----strona_klienta_3
....
--core
----index.php
----admin
----application
----engine
----include
----template
....
--- i cala reszta

Może ma ktoś pomysł jak rozwiązać ten problem?

Pozdrawiam
Barik