hi,

Zum Beispiel hidden-input Felder, denen ja ein Wert zugewiesen ist. Gibt es eine Möglichkeit mit einem dafür geschaffenen Browser diese Felder zu manipulieren

"Dafür geschaffen" ist bereits jeder Browser, der Javascript in Grundzügen versteht - damit kann ich problemlos auf Formularelemente zugreifen, und ihren Inhalt manipulieren.

oder wird das Serverseitig kontrolliert?

Ja, hoffentlich.

Und wie sieht es mit Sessions aus, die ja auch beim Klienten gespeichert sind?

Auf dem Client wird höchstens die Session-ID gespeichert, mit der der Server Anfragen diesem Client zuordnen kann.
Die Session-Daten werden auf dem Server abgelegt.

Kann ein Besucher meiner Webseite Eine Session-Variable wie $_SESSION['login']==false auf true ändern ohne das mit dem Server "rückgesprochen" zu haben?

Wenn register_globals auf on steht und unsauber programmiert wurde, u.U. ja.

gruß,
wahsaga