У меня нет сайта электронной коммерции, но вот несколько полезных советов, которым я следую:
- Никогда не храните в cookie-файлах что-либо, что могло бы угрожать целостности / безопасности вашего сайта
- Храните только ту информацию, которая была бы абсолютно бесполезной ни для кого, кроме вас.
- Придумайте способ «замаскировать» данные в куки.
Вот краткий пример: допустим, вам нужно сохранить имя пользователя в файле cookie. Во-первых, не храните имя, так как это нарушает первый совет. Вместо этого создайте идентификатор пользователя. Простое создание идентификатора пользователя недостаточно, так как этот номер по-прежнему является важной информацией. Чтобы сделать данные совершенно бесполезными для других людей, замаскируйте их. Под этим я подразумеваю следующее: допустим, ваш идентификатор пользователя - 1234. Вместо сохранения 1234, выполните какую-то математическую операцию с ним, а затем сохраните его. Для простоты, скажем, вы квадрату числа. Теперь идентификатор пользователя - 1522756, который может содержать больше цифр, чем позволяет ваш фактический идентификатор пользователя, поэтому данные абсолютно бесполезны для кого-либо, кроме вас. Чтобы снова сделать данные полезными, просто возьмите квадратный корень из числа. В реальном сценарии вы можете захотеть выполнить более сложную функцию, просто убедитесь, что любую операцию, которую вы выполняете, можно изменить на исходный номер.
Проверка того, что файл cookie не был подделан, также является хорошей идеей.