così però non si capisce molto, perchè prima setti $_SESSION['user'] con $user e dopo invece setti il cookie con $_POST['user']?
A questo livello di codice, $user contiene lo stesso valore che è in $_POST['user']?
Oppure proviene da un precedente form?

E quel $_COOKIE['xxxx'] l'hai messo così per non far vedere qui il nome oppure è proprio così nel codice?

Hai provato a fare un print_r($_SESSION); per vedere che cosa c'è dentro, per verificare anche che il problema non sia da qualche altra parte, prima di approfondire sul percorso della sessione?