Das es "hidden" ist, interessiert eher zweitrangig, weil der potentielle Angreifer trotzdem sehr schnell durch Manipulationen des Quelltextes den Eintrag fälschen kann.
Geht ziemlich einfach:
- Seite lokal speichern
- "rumfuschen"
- aufrufen
- abschicken
Also, wenn du damit ein ernsthaften Shop aufmachen willst, dann rat ich dir von derartigen Flickwerk
unbedingt ab.
Also grobe Richtlinie kann man sagen: Je weniger Daten du vom Client erhälst, desto weniger Daten musst du prüfen, desto sicherer. Oder wie mein alter Informatiklehrer zu sagen pflegte: Alles, was von aussen kommt, ist erstmal unsicher und fälschbar
Nicht jeder Fehler ist ein Bug ...