Los datos que no quieres que te cambie el cliente los tendras en campos input:hidden. Para que no te los cambien, por cada uno de esos campos, crea uno gemelo que con el name"XXXX_hash" y mete ahí el hash resultante de concatenar al valor originial, alguna palabra secreta que solo el PHP del servidor conoce, y aplicándole alguna función de hash tipo MD5 o SHA256.
Cuando te lleguen los datos, vuelve al calcular el hash sobre el valor, y compáralo con su valor hasheado que también te llega en el formulario. Si son iguales, es que el valor en plano no te lo han cambiado.

Otra proteccion para evitar ataques CSRF es generar una cadena larga de tipo UUID aleatoria o similar y meterla en sesión cada vez que renderizes el formulario, y también en un campo hidden. Cuando te envien el formulario, comparas ese hidden con lo que tengas en sesion, y borras esa firma de la sesión. Si son iguales, es que el cliente ha rellenado el formulario siguiendo el flujo correcto.

Usa https si puedes.