Есть браузерные куки $_COOKIES, а есть сессионные переменные $_SESSION (ID которой хранится также в куках браузера).
В браузере кроме ID сессии лучше ничего не хранить важного, т.к. это могут поменять без проблем.
Все данные для сессии - нужно хранить на стороне сервера.
Используйте установку флага сессии после успешной авторизации в PHP скрипте на стороне сервера, например, так:
$_SESSION['user']=$username;
и везде проверяйте наличие и наполнение данной переменной:
if ($_SESSION['user']!="") {
//пользователь авторизован...
}