Per Al_katraz984

Xke il form è modificabile da tutti??
Se uno volesse, basterebbe aprire il codice sorgente della pagina che contiene la form, salvarlo sul proprio PC, puntare la action della form al percorso assoluto del sito e quindi modificare i parametri passati dalla form come meglio si crede.

Per Alki
Anche io userei le sessioni ed un token.
In buona sostanza, un codice alfanumerico che metti in un campo hidden della tua form e che salvi anche in una sessione.
Se la pagina è stata clonata e modificata, non esiste una sessione per quella pagina nel server, per cui nello script che riceve i dati passati da form, quando vai a fare il controllino del token passato dalla form e quello salvato nella sessione, quest'ultimo valore non esiste, per cui invalidi la transazione.

Naturalmente questo non è il solo controllo che devi fare (sto pensando che un session_regenerate_id() sarebbe molto utile in questo caso).

Ti mando il link (se mai ce ne fosse bisogno) alla Guida sicurezza di PHP, per farti un'idea di tutte le questioni che dovresti controllare per abbassare di molto il rischio di hacking della tua form.