Это действительно плохая идея. Вы должны использовать session_start(), который сделает все за вас, а затем вы можете использовать $_SESSION для хранения информации об этом пользователе. Если вы храните хэш пароля в базе данных и используете его в качестве файла cookie, то вы полностью подрываете цель хеширования паролей. Злоумышленник может использовать инъекцию sql для получения хеша, а затем просто войти в систему, не взламывая хеш.
Wordpress был уязвим к этому несколько лет назад. У этой базы кода были очень серьезные проблемы с безопасностью.