Zum Beispiel hidden-input Felder, denen ja ein Wert zugewiesen ist. Gibt es eine Möglichkeit mit einem dafür geschaffenen Browser diese Felder zu manipulieren oder wird das Serverseitig kontrolliert?

Klar geht das, darum ist ja die serverseitige Logik so wichtig. Traue nie dem Client.

Und wie sieht es mit Sessions aus, die ja auch beim Klienten gespeichert sind? Kann ein Besucher meiner Webseite Eine Session-Variable wie $_SESSION['login']==false auf true ändern ohne das mit dem Server "rückgesprochen" zu haben?

Das geht nicht. Der Server weiss, ob jemand authentifiziert und damit autorisiert ist.

Aber Du kannst ja mal versuchen Dich in eine bestehende Sitzung hineinzuraten (über die SessionID). ;)