also muss ich auch hidden Feld bei der Rückgabe wieder überprüfen?
Wie mache ich das am besten?

Defensiv programmieren und alle eingegangen Variablenwerte (auch die "versteckten" ;) mit der Dir zur Verfügung stehenden serverseitigen Logik umfassend (und ich meine umfassend) prüfen bevor diese weiterverarbeitet werden.