Ipotizzando che nella tua pagina hai per esempio:

Codice PHP:
if(isset($_POST['carrello))
{
    $_SESSION['prodotto']=$_POST['id_prodotto'];

E ovviamente dal form del carrello riesco a risalire ai nomi delle variabili, posso benissimo fare un form fittizzio, con il nome delle variabili che utilizzi tu, e far arrivare la richiesta, invece che dal sito, da un posto X su internet!