Pues el problema viene desde que usas una cookie, ya que las cookies como sabes se guardan en el cliente y estan sujetas a edicion.

Lo que podrías hacer es tratar de codificar la cookie, usando algúna función como mcrypt y con un passphrase en el servidor pero aun así sería vulnerable.

Saludos.