Y se podría agregar a esas prácticas colocadas por Triby el evitar $_REQUEST['']; cuando sea posible usar las variables $_GET, $_POST y $_COOKIE.

El problema de $_REQUEST es su incapcidad de decirle a otras porciones de código de dónde realmente llegaron los valores almacenados, allí se guardan tanto valores get, como post y como cookie dependiendo entonces de la configuración variables_order en el php.ini para que el script procese la solicitud.

La configuración común es EGPCS, si $_REQUEST se usara para verificar los datos de una cookie, sería muy fácil engañar a la cookie con tan solo enviar lo que la cookie espera mediante get o post.

Esto rompe por ejemplo la necesidad de aceptar cookies de un sistema de autentificación hecho para trabajar con cookies.