Что произойдет, если форма будет отправлена с измененным значением?
Раскрытие фактического идентификатора базы данных создает риск доступа к строкам в вашей БД, которые принадлежат другому пользователю.
Если вы выставляете идентификатор базы данных и используете его в запросе SQL, вы должны убедиться, что запрос SQL использует переменную связывания для этого идентификатора (или правильно экранирует его, но переменные связывания лучше) и выполнять проверки бизнес-правил, чтобы убедитесь, что строка, соответствующая идентификатору, действительно должна быть видна текущему пользователю приложения.
Это на самом деле не проблема XSS, но это определенно проблема безопасности.