Ich plane per cookie die User_id zu speichern, wenn sich ein user erfolgreich in mein System eingeloggt hat (mysql DB über php gesteuert).
Nach Logout wird dieses cookie gelöscht.

Solange also das (bzw. besser formuliert: "ein") cookie mit gültiger gespeichert ist, wird die passwortabfrage nicht wiederholt.

Soweit so gut. Was aber, wenn jemand von Hand einen Eintrag generiert, der einem solchen cookie entspricht, dann kommt er ohne login rein. Oder noch schlimmer, er dort eine user-id einträgt von einem Admin-User.

Ist der Gedankengang korrekt? Kann man cookies editieren?
Wenn ja, wie kann man das verhindern?