Buenas gentes. acá van un par de preguntas.
Escenario: Portal cualquiera con Registro de usuarios.

1) Cuando me logueo, creo 2 cosas, una cookie en la maquina del cliente y una session en el servidor. Esta bien que pregunte por la session en las paginas restringidas???

2) Cuando salgo del sitio sin cerrar la session, y vuelvo al sitio, pregunto primero si existe la session, si existe entra y si no pregunto por la cookie, si la cookie tiene algun valor que lo loguee. asi esta bien??

3) Cuando una persona se loguea en el sitio, se crea una session y una cookie. La cookie contempla la contraseña del usuario, la puse en md5 pero buscando una lógica me pregunte, ¿Por que codificarla? 1ero que lo unico que puede hacer obteniendo la pass de la cookie, es publicar un par de boludeces en el sitio ya que no tendría importancia por que los administradores antes de publicarlas tienen que corroborarlas. Y 2do si codifico la pass en md5 también tengo que codificar el campo pass de la base de datos lo cual me traeria problemas a la hora de que tenga que devolverle el pass a algun usuario que no se la acuerde. Y mas si existe gente que decodifica pass en md5 que conozco pero no divulgo. Ahora me pueden decir por que codificarla???

4) Estoy trabajando con marcos. Existe algún problema en PHP o en la seguridad como para sacarlos???

5) próximamente.

Agradezco su ayuda.