Estoy haciendo un portal en el que el usuario puede identificarse y mantener la sesion mediante cookies ya que puede cerrar y abrir el navegador y seguiria logado.

El sistema que tengo montado es el siguiente...
- Cuando entra alguien compruebo si existen mis cookies con un nombre especifico.
- Si existen... compruebo el contenido de las mismas (usuario, password) con la base de datos.
- Si coincide el usuario en la base de datos... creo variables de sesion (id_usuario, nombre_usuario) y en las secciones privadas podra entrar siempre y cuando existan esas sesiones.
- Si NO coincide el usuario en la base de datos... no creo ninguna sesion y al no existir esas sesiones no puede entrar a las paginas privadas (les saco con un header ('location ./index');

Ahora mismo, la clave la guardo en la base de datos y en la cookie a pelo, sin encriptar ni pasarlo por MD5 ni nada y claro... si ves la cookie, en ella pone perfectamente "cliente_usuario pepitogrillo clave_usuario 12345

Imagino, que deberia "encriptar" la clave con MD5 en la base de datos y en la cookie.

Asi, si viene un listillo y espia las cookies, aunque sepa que ese codigo largo MD5 es la clave... como no la puede "desencriptar" no habria problema no? Pero ahora... si el listillo la ve, se la apunta en un papel y se va a su casa... siempre podra entrar en la cuenta del otro sin que este otro se de cuenta, por que ya se sabe el usuario y la contraseña, entonces, siempre "encriptar" con MD5.

Este sistema estaria bien (aplicandole el MD5)? o correria todavia algun riesgo?