Eso que ves ahí de "ver.php?id=2'%20AND%200=1'" es una inyección sql. Sobre el tema de las cookies hay algún buen post por ahí que no encuentro pero las puedes encriptar con md5 y guardártelas en una base de datos para comprobar que esa cookie existe y puede ser utilizada. Creo que era algo así el tema de cómo lo hacían.