Hallo Malcolm,

Gib die Passwort-Daten nicht auf den User-Rechner, auch nicht gehasht.

Wenn ich aber nur die UserID speichere, wie soll ich den User dann richtig verifizieren? Die UserID wäre doch leicht zu erraten.

Klar, aber wie willst du die User-ID in die Session kriegen? Bei PHP verlässt die Session doch den Server nicht, nur die Session-ID.

Passwort in der Datenbank mit password_hash() speichern. Beim setzen des Cookies das gehashte Passwort mit md5 nochmal verunstalten und diesen Hash im Cookie speichern?

Don't. Es gibt keinen Grund das zu tun, und du öffnest dir potentiell damit ein Loch.

LG,
CK