und wenns mal probleme mim php interpreter gibt, dann kann man einfach die datei ziehen, oder?
aus diesem grund und aufgrund des komforts bevorzuge ich die db variante.
zu den cookies:
man soltle natürlich nicht nur prüfen, ob ein cookie vorhanden ist, sondern auch ob die daten richtig sind, aber nehme mal an das meintest du?
worauf man noch achten sollte, ist die verschlüsselung und das diese im cookie bzw. beim autologin anders genutzt wird als es in der db steht, so dass es, falls jmd. an die db kommt, nicht möglich ist einfach entsprechende cookies zu erstellen, sondern erst einmal die passwörter cracken muss.
passwörter mehrfach verschlüsseln, z.b. md5("test") wäre sehr einfach zu knacken aber wendet man md5 nochmal auf das ganze an, müsste man ein  passwort mit 32 zeichen knacken, da stoßen dann selbst z.b. im netz verfügbare rainbow tables an ihre grenzen - außer der angreifer hat enormes glück und findet ne kollision.
ansonsten gibt es wohl zur zeit bessere one way verfahren als md5, habe mich allerdings noch nicht damit auseinandergesetzt welche das in php sind, vor allem da z.b. 2 oder mehrmal md5() in der praxis seinen zweck voll erfüllen dürfte.