Il codice che hai postato contiene una marea di problemi sia di sicurezza che stilistici.

- Non usare lo short open tag, utilizza sempre il tag di apertura completo
- Non salvare nei cookie i dati di accesso dell'utente
- Se abiliti la visualizzazione di tutti gli errori otterrai decine di notice causati dalla scarsa qualità del codice
- Non passare dati in input ad una query SQL senza averli prima protetti da SQL Injection
- Non accedere ad indici di array senza verificarne l'esistenza
- Non inviare output al buffer in uscita prima di usare delle funzioni di manipolazione degli header
- Non usare il valore restituito da mysql_query() senza aver prima verificato l'effettivo successo della chiamata.

etc. etc. etc.