Логика такая:
если юзер ставит галочку, чтобы его в следующий раз автоматом авторизировали, то в куку пишем какую-то информацию (пока назовем ее условно - идентификатор) и еще этот же идентификатор пишем в базу.
При заходе юзера читаем куку. Если в ней есть идентификатор, ищем, есть ли такой идентификатор в базе. Если есть - пишем в сессию, что юзер прошел авторизацию.
Что может выступать в роли идентификатора:
1. логин и хеш от пароля (то есть пишутся 2 куки)
2. какая-то случайная комбинация. Например $cookie_id = md5(mt_rand(0, time()));
3. ...... можно много чего придумать, главное чтобы идентификатор был уникальным.
Я в свое время остановлися на комбинации "логин" + случайная комбинация (то есть 2 куки писал). Не люблю я в куки пароли и их хеши писать.