Hi,

Ist das denn korrekt und gewollt, dass der User die hidden-fields über die URL mit eigenen Werten überschreiben darf/kann?

URLs sind immer manipulierbar. Hidden-Felder sind nicht als „Schutz“ dagegen gedacht.
Eine Anfrage, die deinen Server erreicht, muss nicht mal von irgendeinem „Formular“ stammen.
Egal, ob GET oder POST verwendet wird - Eingabedaten sind immer zu validieren.

MfG ChrisB