hi,

nun will ich aber bei dem login formular eine option hinmachen, die wählen lässt, ob ggf. cookies und damit dauerhafte logins gemacht werden sollen.

Dabei hilft dir der Session-Cookie bzw. seine Lebenszeit aber nicht sinnvoll weiter.

Du kannst zwar, wie eddi schon beschrieb, eine Lebenszeit für den Cookie, der die Session-ID übermittelt, vorgeben, so dass er über das Schließen der Browserinstanz hinaus erhalten bleibt (bleiben sollte).

Das bringt dir aber noch nicht unbedingt viel, so lange du nicht auch die "Lebenserwartung" der Session-Dateien auf dem Server erhöhst.
Diese werden nämlich nach einer bestimmten Zeitspanne als "Garbage", Müll, betrachtet, der dann vom zufallsgesteuert angeworfenen Garbage Collector aus dem Verzeichnis für die Session-Dateien "rausgeputzt" werden darf.

Um auch das zu beeinflussen, müsste also auch noch an der Option session.gc_maxlifetime rumgeschraubt werden.

Das wiederum würde ich aber nicht empfehlen, da damit die kompletten Session-Dateien eine erheblich längere Lebensdauer bekommen - dein Verzeichnis für die Session-Dateien wird sehr viel voller werden, wenn die Dateien länger "aufbewahrt" werden.

Die besser Alternative dürfte es also sein, für einen Login über die Surf-Sitzung hinaus die zum Login benötigten Daten in einem eigenen Cookie zu speichern - also beispielsweise den Usernamen/-ID, und einen _Hash_ des Passwortes (NICHT im Klartext dort ablegen, sollte klar sein), mit dem du auf der Datenbank o.ä. überprüfen kannst, ob der Nutzer, dessen Browser dir diese Werte im Cookie gesandt hat, Login-berechtigt ist.
Du fragst also ab, ob dein Script einen solchen Cookie empfangen hat - wenn ja, und damit ein gültiger Login möglich ist, dann startest du eine neue Session, und kennzeichnest darin den Nutzer als eingeloggt.

gruß,
wahsaga