Aqui no importa lo crackeable que sea el sistema.
Lo de robar cookies no es nada nuevo sabes?
Antes para robar cookies que engañaba al usuario para que entrara en una web y con javascript utilizando document.write s escribia su coockie en algun sitio y se le robaba la cookie, no es nada nuevo, no creo que puedas hacer mucho contra eso.

Ah, y mirate las top 5 vulnerabiliades tipicas de php
http://www.owasp.org/index.php/PHP_Top_5