direk cookie ile login ediyorsanız cookiede ne tuttuğunuz önemli değildir. Güvenlik açığı demektir bu. Her login oluşunuzda bir hash oluşturup bunu da cookiede tutar aynı zmaanda veritabanında da tutarsanız hem özel bilgilerin kullanıcının kullandığı pcye ulaşmasını önler hem de gücenlik sağlamış olursunuz. cookie çalınması durumunda işe yaramaması için aynı anda farklı iplerle login olma ya da farklı sessionlarla aynı hashi kullanamama gibi kısıtlamaklar koyabilirsiniz.

bunları en güzel ornekleyen yapılar forum sistemleri aslında MyBB ve vBulletin sistemlerini incelemeniz size daha iyi fikriler kazandırabilir.