Esto último no evitaría el envío de variables al formulario.

Y en cuanto a lo de la inyección de código.... Sí, es posible sacar el SSID de una sesión, inyectarla en el paquete que se quiere enviar y mandarlo al servidor simulando ser algo legítimo....

Ningún método es fiable al cien por cien, y el mayor esfuerzo se debería hacer validando bien toda la información que entra. Pero el tiempo que se invierta en la seguridad de un script es proporcional a lo crítico que es y a lo vulnerable que puede llegar a ser.