Cuidado con la inyección SQL: nunca pases directamente la entrada del usuario a la consulta.
Como mínimo, usá la función addslashes() con el campo nombre.

Un ataque posible pero un tanto más avanzado es modificar el nombre de usuario, al guardarse en una cookie que estará en el cliente, te pueden pasar cualquier valor.

Siempre es más seguro usar sesiones, que además no dependen de las cookies.


Saludos.