El primero fue el mejor, osea que no se puede confiar en un hidden para pasar ciertos parametros importantes, tienes que validar como loco del lado del servidor.

gracias,