Also ich habe das so verstanden, dass ich die session_id von session(); dazu nutze eine gültige post-anfrage senden zu dürfen.
also hinterlege ich diese kombination in den submit-button. und jetzt? jetzt könnte ein angreifer immer noch die inputs manipulieren.

Ja und?
Wenn deine SessionId 76a8bb6b78cddca003673faf lautet, kann der lange raten.

Ach in den Submit button kommt nur der md5-Code der SessionID - das ist ne Idee! bzw. muss das nicht mal ne SessionID sein sondern irgendeine ID diese wird in der Mysql-Tabelle secure_posts eingetragen.

ID........(INT)
post_ids..(VarChar(20))
timestamp.(INT)

wird eine post_id verbraucht wird der Eintrag gelöscht.
timestamp dient für timeouts. alle Einträge die älter wie 10 Minuten sind werden gelöscht.

Kalle