4. ZiGR, через куки данные передаются точно так же, как и через форму либо через GET.
Представь, что ты регистрируешься по реф ссылке, тебе в куку пишется ID или логин юзера, который тебя пригласил. Данные из куки не проверяются и не фильтруются, а пишутся в базу "как есть". Представь, сколько беды сделаешь, если подменишь содержимое куки на свой код?