http://d.hatena.ne.jp/teracc/20080225#1203957135
寺田さんの日記より

私が問題だと思うのは、「hiddenの改竄」はWebアプリケーションの開発者の人たちに割と認知されているようですが、セッション変数を使う場合に生じうることは、一般に余り認知されていないように思われることです。

ものすごく同感です。セッション変数を使用する際に注意すべきポイントは、hiddenを使用する際に注意すべきポイントよりも数多いのに・・・
この辺りをまとめた記事を書く予定だったのですが、うまくまとめられなかったので没となってしまいました^^;
簡潔な説明がなかなか難しい問題であるとも思います。