Si ma il punto e' evitare che qualcuno possa ingannare un utente facendogli fare una richiesta manipolata (forged request) tramite un form esterno al sito destinatario del form stesso, cioe' prendere un utente legittimo e ignaro e fargli fare qualcosa che vuoi tu.

Quello che dici tu e' inevitabile ma non e' un problema, perche' comunque devi verificare qualsiasi input ricevuto dal client: se quell'id_riga contiene un valore a cui l'utente non ha accesso, allora gli mostrerai un messaggio di errore.