Может ли пользователь изменить данные cookie, чтобы внедрить вредоносный код?Должны ли файлы cookie подвергаться санитарной обработке, когда они извлекаются сценарием?
Внедрить вредоносный код?Не PHP-код, но вы правы в том, что вам следует санировать значения файлов cookie, прежде чем работать с ними.
Файлы cookie могут быть легко изменены, добавлены и удалены пользователями и должны рассматриваться как недоверенные данные пользователя.Они так же подвержены уязвимостям XSS и SQL-инъекций, как и любой другой пользовательский ввод.
Кроме того, если вы не используете SSL, файлы cookie так же подвержены перехвату, как и данные GET или POST в запросе.Вредоносные интернет-сервисы могут перехватывать или изменять куки.Также см. Firesheep для примера того, как куки могут быть использованы неправильно и не доверять.