Gracias! Lo del XSS tengo que mirarlo pero en teoría no debería de tener ningún problema, todo el contenido de los usuarios pasa antes por un htmlspecialchars() para quitar cualquier código aunque me imagino que como con todo, alguna forma habrá de 'hackearlo' digamos.

Luego si quiero hacer una cookie que se almacene en el navegador para inicio de sesión automático de forma segura cómo lo haría? Me refiero al método que buscar en el manual de php y google se hacerlo xD Lo que tengo en mente es generar un token alfanúmerico aleatorio largo que se almacene en la cookie y en una columna del usuario en la base de datos y que se compare pero me parece demasiado simple e inseguro.