hi,

[das jemand über ein fremdes Formular dein Script aufruft und andere Werte übergibt]
Und wie verhindere ich so etwas?

Gar nicht.

Aber du prüfst alle Daten auf Plausibilität. Wenn Änderungen nur an den Tabellen X und Y möglich sein sollen, dann überprüfst du, ob als Tabellenname X oder Y übergeben wurde - alles andere sind ungültige Daten.
Wenn nur bestimmte Felder manipulierbar sein sollen, analog.
Wenn nur bestimmte Werte gültig sein sollen, analog.
...

Ich verschicke die Daten mit POST, dann sind sie erstmal nicht so problemlos sichtbar?

Interessiert nicht, höchstens für Leute die kein HTML kennen eine Hürde.

Ich schicke noch irgendeine Kennung mit?

Bringt nichts.
Die sehe ich in deinem Formular, als kann ich sie genauso gut senden.

gruß,
wahsaga