Estoy con la misma duda y se me ocurre la siguiente solución, a ver que les parece:

Si en la base de datos, en la tabla de usuarios agrego un campo que sea Cookie_ID y cada vez que se loguea la cambio, entonces ahora cada vez que el usuario real se loguea deberá ser hackeado nuevamente. Si no, el ladron de cookie no puede volver a entrar pues no tiene el ID, que será cheqado en todas las paginas.

Igual me parece que mejor usar sessions, pero que les parece esta solucion?