Guten Tag,

Cookie würde ich nicht verwenden, wenn PHP vorhanden ist. Der Speicherplatz in Cookies ist grundsätzlich begrenzt (auch wenn man da keine Massen an Daten hineinschreiben will), und eben komplett clientseitig veränderbar. Das will man nicht, weil es die Sicherheit massiv beeinträchtigt und einen dazu zwingt, bei jedem Request die Cookie-Daten zu prüfen und ggf. zu korrigieren.

Ich halte die Sicherheitsproblematik hier ebenfalls nicht für sehr gravierend. Jedoch ist ein System, welches vollständig auf Cookies basiert, wenig fehlertolerant. PHP-Session bieten wenigstens einen Fallback auf Session-ID in der URL. Bei einem Shop, der die Bestelldaten in Cookies hält, müssen diese Fallbacks (genau wie den Speichermechanismus) selbst implementiert wird, was wiederum Basis für Sicherheitslücken gibt.

Gruß
Christoph Jeschke