cookies httpOnly
W celu lepszego zabezpieczenia się przed atakiem XSS (oczywiście nie zapobiega to wszystkim możliwościom ataków, ale przynajmniej je utrudnia) warto w php ustawić w ciasteczkach flagę httpOnly (patrz poniżej).
header("Set-Cookie: app=Projekt; httpOnly");
setcookie("proj", "Projekt", NULL, NULL, NULL, NULL, TRUE);
Wtedy do ciasteczek nie będziemy mieli dostępu z poziomu javascript za pomocą document.cookie.