Hola, estaba revisando el tema de seguridad en una aplicación en la cual guardan los datos que van a modificar en un campo de input hidden, con lo que puede uno entrar por el navegador y modificar los datos a enviar, o activar los campos bloqueados y cambiar valores y en fin todas estas bobaditas.

Mas exactamente consultan la base de datos, obtienen un id y el valor lo guardan en un campo oculto en el formulario para luego enviar a una pagina por post de proceso en php que modifica teniendo en cuenta este id oculto, al cambiar el id termina modificando otro registro jejeje.

Me surgió una pregunta con eso y es. Al tener configurado el php para que no escriba las variables de sesión en cookies, y guardar los variables en dichas variables (por ejemplo el id), existe alguna forma de poder modificar estos valores? me explico, la mejora que intento hacer ya no guardaría este id en un campo oculto de post sino en una variable de session. Hay alguna forma que un intruso pueda verla desde un externo (por ejemplo el navegador) y cambiar los datos como yo lo hice en el navegador al inspeccionar el elemento?

Mil gracias.