Ich frage mich gerade in wie weit es einem Webseitenbesucher möglich ist Webseiten zu manipulieren.

Zum Beispiel hidden-input Felder, denen ja ein Wert zugewiesen ist. Gibt es eine Möglichkeit mit einem dafür geschaffenen Browser diese Felder zu manipulieren oder wird das Serverseitig kontrolliert?

Und wie sieht es mit Sessions aus, die ja auch beim Klienten gespeichert sind? Kann ein Besucher meiner Webseite Eine Session-Variable wie $_SESSION['login']==false auf true ändern ohne das mit dem Server "rückgesprochen" zu haben?