Originariamente inviato da mem
A livello di sicurezza non vedo alcuna differenza. L'unico modo per stare al "sicuro" è utilizzare il database, del resto non vedo motivi per non farlo, anzi, permetti al cliente di salvare il proprio carrello come lista dei desideri o promemoria, o semplicemente permettergli di fare l'acquisto più tardi, senza fargli selezionare nuovamente tutti i prodotti se chiude il browser o se il cookie scade
scusate ragazzi, ma io solitamente uso sia un cookie (o sessione) e il db..

nel cookie salvo id oggetto, quantità e varie personalizzazioni, mentre il prezzo lo carico sempre dal db..

in questo modo anche se l'utente interviene direttamente sul cookie/sessione, il 'danno' maggiore che può fare è modificate quantità o oggetto (cosa che potrebbe tranquillamente dal sito eh)

cosa intendete per poco sicuro?
io adotto questa soluzione da quando mi hanno richiesto il pagamento con paypal.. visto che la soluzione paypal per l'ecommerce prevede di mettere dei campi hidden con tuti i dati, totali inclusi (questo si che è riducolo, l'utente può benissimo cambiare anche il totale dell'acquisto prima di pagare)