No es "peligro", sino que simplemente tal como esta pensado HTTP, no hay forma de garantizar que esos parametros ocultos sean los que tu generaste. No es nada dificil crear peticiones HTTP POST que el servidor no diferencia del que pueda venir del navegador.

Por eso una maxima de seguridad es sospechar de todo contenido enviado desde el cliente, ya sea GET, POST o COOKIES. Todo el mundo es culpable hasta que se demuestre lo contrario. Por eso el register_globals esta a punto de desparecer.