Weil du gerade anfängst verrate ich dir, wie ich angefangen habe...
in der ersten Variante war es schlicht so, dass nach erfolgreichem Login ein Cookie mit User-id und Passwort gespeichert wurde. Da dieser Cookie bei jedem Klick übertragen wird konnte so auch bei jedem Klick geprüft werden, ob id und pw zusammen passen.
Dieser Cookie hatte unendliche Laufzeiten (1 Jahr oder so), das Script lief äußerst zuverlässig, aber natürlich auch äußerst unsicher, denn immerhin wurde bei _jedem_ Klick das Passwort _unverschlüsselt_ nurchs Netz gejagt.

Schritt zwei war dann eine serverseitige Verschlüsselung, was aber auch nicht wirklich 'was bringt, weil man ja nur die verschlüsselte Version des Passwortes braucht...

Dann habe ich das eingebaut was du vorschlägst, User-ID + Passwort + Uhrzeit + IP + Kontrollsumme in einem String zusammengepackt (also keine einzelnen Cookie-Werte mehr) und verschlüsselt. Das ist schon bedeutend sicherer, weil ein eventuel abgefangenes Cookie nichts mehr bringt, wenn man sich von einer anderen IP aus Zugriff verschaffen will, ebenso geht es nicht mit der selben IP zu einem späteren Zeitpunkt.

Abschließend habe ich diesen verschlüsselten String (übrigens mit variierenden Schlüsseln) auch noch als Session in den Cookie gespeichert... Sessions kann man aber auch via $_GET übergeben.