sadece bu cookie kontrol'ü yetmez. serverden da kontrol etmelisin ben cookie yi değiştirerek rahatlikla girebilirim sisteme. yada cookie ye şifreyide koy ikisini birden kontrol et(xss yememek şartı ile =) ).

ikincisi get ile aldigin verilere mysql_real_escape_string uygula.

$user = mysql_real_escape_string($user);

şimdilik diyeceklerim bunlar.