Lass das Passwort aus dem MD5 raus, das hat da nichts zu suchen. Lass auch die UserID aus dem MD5 raus, auch die hat dort nichts zu suchen. Speichere stattdessen die SessionID der serverseitigen Session als MD5 in einem Cookie. In der Session speicherst Du dann (auf dem Server!) die UserID und sonstige Informationen, die Du brauchst (z.B. Remote-IP, Datum der letzten Aktion usw.) ... das Passwort hat jedoch auch hier absolut nichts verloren.

Hallo,

aber wie soll dann der Autologin noch funktionieren?!

Es geht ja hier darum, dass der User sich nach z.B. 3 Tagen nicht nochmals neu einloggen muss...