Pues si es así, en el mismo archivo que válida el login del usuario podría ser creada si la validación es correcta.
Sólo debes de tener lo siguiente en consideración :
Cita: Las cookies son parte de la cabecera HTTP, por lo que setcookie() será invocada antes de enviar cualquier otra salida al navegador. Esta es la misma limitación que tiene la función header(). Se pueden utilizar las funciones del búfer de salida para retrasar la salida del script hasta que se haya decidido si establecer o no alguna cookie o enviar cualquier otra cabecera.