иначе можно достаточно легко вас разорять на смс в никуда.
да и раньше все про это знали. Это уязвимость рода SQL инъекции, о которых, обычно, узнаешь до того, когда начинаешь писать что-то серьезное.
А внедренный враждебный скрипт из браузера аутентифицированного пользователя вполне может отправлять запросы к серверу
Поэтому здравая логика говорит об использовании localStorage