En pocas palabras envenenamiento de cookies.

Yo prefiero hacer las cookies desde 0, todo cifrado por mi y sin que se quede guarde ningún 'archivo', sólo en el cliente una cookie que corresponder a una cadena aleatoria pasada por sha1.

El problema no es usar cookie o session, sino no olvidarse escapar después los carácteres (con por ejemplo mysql_real_escape_string() ) aunque yo uso limpiasql(), función creada por mi, que es igual que la de arriba pero más fácil de recordar xD

Además, no hay que olvidar que la cookie/session contenga un valor puede que no sea correcto por lo que hay que tener un control de errores.