io uso il cookie utente normale, quello password in formato md5 e poi per verificasre se l'utente e loggato:

file users.php:

<?php die("non puoi vedere il contenuto"); ?>
utente_1|--|--|passmd5_1
utente_2|--|--|passmd5_2

function check_user($user, $md5pass) {
$result = FALSE;
$users_db = file("users.php");
foreach($users_db as $line) {
$user = explode("|--|--|", $line);
if($user[0] == $user && $user[1] == $md5pass) {
$result = TRUE;
break;
}
}
return $result;
}

e poi in ogni pagine dello script metto:

if(check_user($_COOKIE['utente'], $_COOKIE['md5password'])) {
//pagina
}else{
header("Location: login.php");

et voilà che l'utente non mi fotte