Igazabol a serializalas mindig is veszelyes, mert nem tudhatod, mit unserializalsz vissza.
Mint irtam nekem az a problemam a serializalassal (legyen az serialize, vagy json_encode -dal letrehozott adat) hogy az igy kepzett stringet mar nem lehet validalni anelkul, hogy vegrehajtanad rajta a unserialize/json_decode eljarast, ergo ha az adott fuggvenyekben van sebezhetoseg, akkor az szopo.
A session-nal meg elojon az, hogy aki nem validal egy nem-belso tombot, azt maglyan kell felkotni.
Itt megint inkabb arra kell gondolni, hogy a sajat rendszeredben lehet valid alairas/felhasznalonev/egyeb. pl. az a string, ami fel tud boritani egy unserialize hivast.
Egyebkent pedig sajat "serializacio" irasa nem olyan nehez, egy tombot vagy egy hash-t (ha nem mely es nem objektumokat tarolsz bennuk) siman at lehet alakitani stringge kezzel (megoldva ezzel az SQL oszlopos problemat).
persze, meg irhatnek relacios adatbaziskezelot is, ami nem erzekeny az injection-re, de nem ertem hogy ez miert zarja ki, hogy a sajat implementaciomban is maradjon kihasznalhato sebezhetoseg.
Tyrael