quindi se per ipotesi sono malintenzionato mi registro al sito ecc.....

ora apro il file dove viene memorizzato il cookies e cambio il valore.

con il tuo metodo risulta, come hai già detto, molto difficile mettere un valore valido e "spacciarsi" per qualcuno altro!!!

ti dico questo perchè l'ho letto in un'altra discussione
http://forum.html.it/forum/showthrea...ghlight=cookie

estrapolo il pezzo

... Teoricamente con i cookies puoi fare tutto quello che fai con le sessioni, tuttavia ti consiglio di utilizzare entrambe: si tratta di una questione di sicurezza. I cookies non sono altro che piccoli file di testo immagazzinati dal browser al pc dell'utente. Ipoteticamente chiunque puo' aprirli e leggerli.
Immagina ora per caso che sul cookie che il tuo sito rilascia una volta effettuata la prima login venga salvata l'id dell'utente.
il cookie apparirebbe come qualcosa di questo tipo
id_user | 2032
ogni volta che l'utente naviga il tuo sito viene fatta la query al db tramite questa id_user, nulla pero mi vieta di aprire il file e cambiare il 2032 in 1. in questo modo tutte le query verebbero fatte con id_user = 1, in parole povere potrei spacciarmi per qualsiasi utente ......
ho capito tutto in maniera corretta?