disculpa que te contradiga, pero el simple echo de usar sesiones implica que usas cookies (y dudo mucho que uses el modo enable_trans_sid).

veo que te falta hashear las contraseñas, es algo muy recomendable que almacenes en la base de datos las contraseñas con md5 por ejemplo.

el robo de la sesión, (o el robo de la cookie de la sesión) es muy común si no proteges a tu sistema contra XSS, pero eso ya es un tema muy extenso, sin hablar también del CSRF; si quieres consulta en google o en mi blog para mayor información, lo estoy renovando