mira no tengo mucha experiencia en logins, pero se que se hace con sesiones, es decir utilizas la variable $_SESSION[] y en ella vas guardando datos por ejemplo, cuando el usuario introduce el user y pass estos se deben comparar con una base de datos, si estan correctos se escribe en la sesion algun valor como
$_SESSION['logeado']=TRUE;
con eso despues verificas si ya esta logeado con un
if(!empty($_SESSION['logeado']))
El usuario no podra modificar este dato porque?,, porque el servidor le pasa una cookie al cliente con el nombre de phpsessionid y este solo contiene un id,, cuando el usuario se mete a la página este le manda la cookie phpsessionid al servidor y el servidor busca en sus sessiones activas la que tenga el id que le paso el cliente.Por ende es mas seguro chequear por session que por cookie. (Si me equivoco corrijanme porfa xD).
Saludos