"Remember me" siempre es un agujero en una seguridad, sea lo que sea que uses, cookie o sesión, alguien puede robar (teóricamente) una cookie y así ingresar una cuenta sin contraseña. Hay formas de aumentar la seguridad, permitiendo el retiro solo bajo la misma IP. Las cookies son menos seguras, pero AFAIK depende de la forma en que implemente la autenticación. Por ejemplo, al mantener el hash de contraseñas en las cookies casi le das al intruso una contraseña real (que es un no-no, puede usarse en otras aplicaciones web) ya que hay diccionarios para obtener contraseñas simples del hash. Salting hash no ayuda mucho.
En general, la sesión es la manera más simple y más que suficiente. Use tablas si usa más de un servidor web para una aplicación, de lo contrario, las sesiones en el disco estarán bien.
¿Qué estás usando en este momento? –