COOCKIE injection

кто что знает. какие виды защиты есть от нее?

Проверять куки ))) экранировать фильтровать
нельзя доверять ничему что приходит от пользователя)))

Старая добрая фильтрация грамотно составленной регуляркой всегда поможет.

Если например в Cookies ожидается только число (если например это счетчик переходов записывающий данные в Cookies) то из приходящих данных необходимо вырезать все кроме цифр, а если латиница (например в случае если в Cookies храним идентификатор сессии) то вырезать все кроме букв латиницы, также хорошо обрезать длину приходящих данных.
Так же стоит поступать и с другими данными приходящими от пользователя, разрешать необходимый минимум, а все остальное жестко фильтровать.

Тогда можешь с уверенностью 99.9% считать что защищен.

4. ZiGR, через куки данные передаются точно так же, как и через форму либо через GET.
Представь, что ты регистрируешься по реф ссылке, тебе в куку пишется ID или логин юзера, который тебя пригласил. Данные из куки не проверяются и не фильтруются, а пишутся в базу "как есть". Представь, сколько беды сделаешь, если подменишь содержимое куки на свой код?