Also ich habe das so verstanden, dass ich die session_id von session(); dazu nutze eine gültige post-anfrage senden zu dürfen.
also hinterlege ich diese kombination in den submit-button. und jetzt? jetzt könnte ein angreifer immer noch die inputs manipulieren.

Ja und?
Wenn deine SessionId 76a8bb6b78cddca003673faf lautet, kann der lange raten.

das Sessions besser sind wie die GET-Methode oder Hidden-Felder habe ich begriffen.

Nö... Sessions in Urls sind allenfalls ein Problem.
Oder die Form der SessionID, dann stellt sie aber auf jeden Fall ein Risiko dar.

es ist nicht nur schöner sondern auch sicherer, da die variablen nicht überschrieben werden können.

Cookies können jederzeit überschrieben werden. Alles ist manipulierbar.

mfg Beat