la idea es que no se vean por url asi menos aopciones al usuario para jugar con ellas, para ello esta el start_session(); solo una vez inicializada la opcion la llamas nuevamente....
olvidate de las cokies para esto es mi punto de vista.... seguridad pues puedes aplicar magic_quotes ver temas como inyeccion sql etc.... la idea es que en tu consulta al preguntar sobre user y contraseña no permitas caracteres especiales y demas... lo que hacen tu log access por decirlo inseguro....

si tienes mas dudas sobre algo nos preguntas....
todo caso poner en el google seguridad php ayuda bastante...