La idea sería:
Usar validación por sesiones y autentificar por cookies o login (formulario) manual.

1) La cookie sólo usarla para autentificar al usuario con los datos de esa cookie: usuario/password en tu sistema habitual. Es decir .. si está creada esa cookie, usar esos datos para hacer el login y si no está creada pedir que los introduzcan a mano (formulario de login) ..

2) tras la autentificación del usuario por cookies o "manual" continua todo tu sitio usando sesiones.

Así el proceso de consulta a tu Base de datos para contrastar esos datos de tu usuario/password de tu cookie sólo se hará (o tendría que hacer) si no hay sesión en curso creada y si no está usando el login manual (por el formulario). Por qué .. cuando el "login" es aceptado (sea por los datos de tu cookie o por el login manual) creas tus variabels de sesión y esas son las que primero verificas si existen para ir pasando secuencialmente a ver si existen las cookies y de ahí a presentar el formulario de login si corresponde.

No sé si quedó claro el "concepto" de validación y de autentificación que he pretendido explicar .. pero así es el tema. Me "fio" de lo que encuentro más seguro (sesiones) para "validar" (validar que accedan a un script/pagina que requiera un usuario autentificado) la existencia de las variables de sesión que sólo creo cuando el usuario es autentificado y .. la autentificación en sí que .. lo típico es usar el formulario de "login" para pedir esos datos de usuario/contraseña .. ahora se va hacer por ese método "manual" o bien "automático" por los datos de la cookie si esta existe.

Un saludo,