Existem alguns métodos diferentes para isso. Um seguro seria adicionar um campo à tabela de usuário mysql e ter um hash "remember_me" que é apenas um hash aleatório gerado.

O hash deve ser armazenado em um cookie no computador do usuário, bem como o ID do usuário para fins de validação por quanto tempo durar o período de lembrança (você também deve definir o período de lembrança no banco de dados como um carimbo de data e hora para segurança extra). Quando eles abrem seu site, você vê se esse cookie está definido, se estiver, você apenas autentica o hash para o ID do usuário. Se validar, eles são considerados logados. Se não validar, envie-os para uma página de login / eles não são considerados logados.

É assim que configuro a maioria dos meus sites. A dor é que, se eles fizerem login de outro computador, eles não serão mais validados no computador que estavam usando e terão que se autenticar novamente. Mas a segurança, para mim, é mais importante do que eles terem que fazer login novamente devido a essa situação.

EDIT:Veja os comentários abaixo para informações extras sobre as sessões/segurança.