Nella tabella sessioni inserisci l'ID dell'utente e una stringa hashata generata casualmente, tutto questo al login dell'utente.

Poi registri tutto nel cookie. Quando l'utente torna a visitare il sito controlli se il cookie è presente....se lo è controlli che ID ha registrato e lo prelevi. Poi guardi nella tabella sessioni e vedi se il codice del cookie coincide con quello di quella riga del DB, se coincide allora l'utente è quello giusto.

Conq uesto metodo, per beccare i valori di un'altro utente devi praticamente, oltre a beccare "a culo" il codice hashato di un'altro, devi beccare anche l'Id corrispondente giusto...è quasi impossibile.

Addirittura potresti usare la password dell'utente hashata con MD5...non essendo possibile risalire alla password originale non si corrono rischi.