MD5 não é mais considerado seguro; considere usar o hash de senha embutido mais recente do PHP com o algoritmo bcrypt que tem complexidade computacional variável:PHP password_hash() e password_verify() .

Idealmente, você usaria uma sessão PHP para manter o estado durante uma única visita e, se desejar ter uma opção "lembrar meu login", usaria um cookie que contém informações suficientes para autenticar um usuário que retorna e reiniciar uma nova sessão . Há um bom artigo de 2004 sobre as melhores práticas sobre cookies de login aqui:Persistent Login Cookie Best Prática . Você também pode estar interessado em uma solução mais moderna (2015) para implementando com segurança as caixas de seleção "lembrar de mim" .

Tirando isso, acho que o que você descreveu está bom.