Aber warum macht das keiner?

Benutzer-ID und Passworthash werden deshalb extra als Cookie gespeichert, weil damit der Dauerlogin den die meisten Foren bieten möglich ist.
Eine Session wird meist nach kurzer Zeit vom Server gelöscht, wenn sie z.B. 30min inaktiv war. Daher würde ein Dauerlogin nur mit der SessionID nicht funktionieren, diese wäre am nächsten Tag mit Sicherheit ungültig.

Um dennoch einen Dauerlogin realisieren zu können hat man also die Benutzerdaten gespeichert und kann damit eine neue Session mit gültigem Login erzeugen.

Die alternative wäre die Lebensdauer der Session zu erhöhen - was bei PHP aber umständlich ist, denn dazu muss man zwangsweise auch einen seperaten Ordner für die Sessiondaten der Software verwenden. Und wenn man mit Lebensdauern von einigen Tagen arbeitet, kann das schnell viel Müll auf dem Server erzeugen.

greetz RFZ