но в таком случае может возникнуть ситуация когда пользователь сменить содержимое куки к примеру на ID другого пользователя и таким образом попадает на его страницу без пароля. Что мне нужно записать в куки?
Самый простой вариант - сгенерировать какой-нибудь уникальный ID а потом зашифровать его sha512 например. Получите длинный уникальный ключ который довольно сложно подделать. Уникальный ID - должен быть в прямом смысле уникальным, а не "1, 2, 3". Например,
крипто безопасные случайные числа на PHP, полученное число можно разбавить другими уникальными данными, например временем и ещё чем-то (например, как подсказывает коллега выше - добавить туда IP адрес, среди прочего). Полученные в результате хеш - будет достаточно уникальным. Привязываем этот хеш к пользователю и... готово!
P.S. "Подменщиков" куки, т.е. клиентов, которые пытаются сменить значение в куке на несуществующее - нужно отслеживать и банить по IP, как минимум.
