Tienes graves problemas de seguridad.
1.- JAMAS hagas una comparación de usuario y contraseña con un AND en una consulta SQL.
En ves de eso, verifica primero el usuario solamente y si existe ahora si procede a verificar su contraseña..
2.- Tu problema radica en que guardas la sessión en una cookie que facilmente se puede obtener con un cookie catcher y hacerte un delicioso XSS
Ejemplo.
http://www.youtube.com/watch?v=WZCXIrW0xZ0