Вы задали действительный вопрос с плохим примером. Не критическое печенье не должно быть зашифровано.
BUT
For non critical cookies I cnsider language selection, page theme, favourite search etc. And they don't need to be encrypted because informations they transfer is not confidential. BUT it still means that those values should be checked, ie. not included directly in page content, not trusted implicitly because user can change their value.
Относительно пользовательской корзины (я думаю, что это довольно очень важно)... Необходимо держать данные на сессии и выпустить пользователя сеансовые куки.... вот именно. Или если вы используете печенье, шифруете его и проверяете, что это - содержание прежде, чем принять любые решения или операции на данных, полученных от этого или любого печенья.
Необходимо помнить, что, шифруя печенье, не обязательно означает, что стоимость не может быть изменена, это означает, что это не может быть прочитано, таким образом, необходимо всегда шифровать некоторую информацию о контексте, т.е. имя пользователя, время, id и т.д. и утверждать их после декодирования.