Совершенно не важно что делает браузер с куками, главное - что они передаются серверу в загловках пакета. А значит, если подделать загловок, то сервер не сможет никак отличить, прислал ли заголовок настоящий браузер или это подделка.
Единственный вариант - это когда в куках зашифрован IP-адрес (ионгда применяется такая защита, например в системах одноразового голосования). Но и такой случай можно поделать - например пустить и браузер и пхп-скрипт через один и тот же непрозрачный прокси.