per evitare di passare in query direttamente la password o che l'utente possa tentare di accedere a pagine di altri utenti direttamente smanettando sulla query

Non capisco come può essere utile se io potrei leggere il file .txt con tutte le password... ad ogni modo ti suggerisco "per far colpo" ... di codificare il tutto in sha1

sha1($stringa); e lo salvi in modo cryptato sul tuo file .txt

Il resto non ho capito una mazza, prova a essere più umano .... non sai come riconoscere un utente rispetto ad un altro? invece del tuo "tkt" che cambia ogni volta (se ho capito bene) lo fai fisso o numeri semplici tipo 1,2,3,4,5 etc etc... prendi il php e leggi dal cookie il nickname scritto prima in sha1, trova la riga giusta e legge sul tuo txt ID dell'utente e prende i file da qualche parte.

Oppure codifica anche in sha1 ID e lo salvi nel cookie senza ritornare sul txt...

Potrebbe andare per il tuo scopo? non so se ho capito bene eh...