密码可以保存在session里面，也可以保存在cookie里面，但是session里面的东西不能永久保存，关闭浏览器以后下次打开就没有了，而cookie里面的东西可以根据你的喜好，设置有效期，比如一天，或者一周、一月、一年。

密码保存确实不安全，但是不保存又不方便，正取的方法是保存MD5值，例如：
$user=$_POST['user'];//获取用户登录的用户名
$pass=$_POST['pass'];//获取用户登录的密码
$md5_pass=md5($pass);//转换为MD5形式
$db_pass=$db->query("select md5_pass from user where name='$user'");
//这个语句获取数据库里面的MD5密码，也就是说，用户注册的时候就保存MD5形式的密码在数据库中，这样管理员也不知道用户密码，系统的安全性上了一个台阶，但是你可能不接受这种方式，那样里面可以修改SQL语句为：select md5(pass) from
if ($db_pass==$md5_pass){
//登录成功
setcookie('pass',$md5_pass);//保存cookie，密码的MD5形式
}

你这个问题，我没有用过IIS配置主机。

不过我觉得ini_set 后边同一个变量名设置2个值，肯定会有问题。

Apache的话，有设置可以改。IIS就不清楚了，如果有，你可以查找一下，去里面设置一下'session.cookie_domain'