MD5 anses inte längre vara säker; överväg att använda PHP:s nyare inbyggda lösenordshashing med bcrypt-algoritmen som har variabel beräkningskomplexitet:PHP password_hash()
och password_verify()
.
Helst skulle du använda en PHP-session för att upprätthålla tillståndet under ett enda besök, och om du vill ha alternativet "kom ihåg min inloggning" skulle du använda en cookie som innehåller tillräckligt med information för att autentisera en återkommande användare och starta om en ny session . Det finns en bra artikel från 2004 om bästa praxis för inloggningscookies här:Persistent Login Cookie Best Öva . Du kanske också är intresserad av en modernare (2015) lösning för att implementera "kom ihåg mig"-kryssrutorna på ett säkert sätt .
Bortsett från dessa tycker jag att allt du har beskrivit är bra.