also muss ich auch hidden Feld bei der Rückgabe wieder überprüfen?
Wie mache ich das am besten?

na am besten nur so wenig parameter wie noetig uebergeben und den rest dann serverseitig holen. also wenn du z.b. ein warenkorbsystem hast und der kunde kann einen artikel in den warenkrob legen, dann z.b. die warenkorb.php nur mit einem parameter artikel_id=123 und menge=1 aufrufen, und nicht z.b. warenkorb.php?artikel_id=123&menge=1&preis=99.00 - sowas kann halt jeder manipulieren, selbst wenn du es mit hidden oder per post "versteckst", daher also auf der warenkorb.php nochmal intern den preis fuer artikel 123 abfragen.

waere natuerlich einfacher zu erklaeren wenn man wuesste was du genau machen willst...