Guardes lo que guardes (Yo te recomiendo guardar el ID del usuario junto con un número, y después cifrarlo) debe estar cifrado, ten en cuenta que las cookies están en cada ordenador, y si no están cifradas pueden ser visibles a cualquiera, y lo más peligroso es si encima guardas la contraseña, yo te recomiendo algo como:
Código PHP:
$hash = numero_que_tu_elijas;
$id_codificada = md5($id.$hash);
De está forma dificilmente van a sacar el ID, o la contraseña, o lo que decidas meter en la cookie, y una vez ya tengas el dato, únicamente es compararlo con los datos de la base de datos y sacas que usuario es al que corresponde esa cookie.
Un saludo