Sisi assolutamente, infatti OWASP indica solo che la conservazione in memoria va fatta in forma di byte. Poi ovviamente quando il mio codice PHP lo recupera deve riconvertirlo in stringa.
Il punto è che non ho trovato un funzione per convertire da stringa a byte e viceversa.