Да, кто-то может отправить переменные, например, используя urllib2
в python. Это очень легко сделать. Если вы собираетесь выполнить только один набор проверок, сделайте это на стороне сервера. делать это на стороне клиента - это не что иное, как вежливость по отношению к вашим пользователям.
как пример того, как это просто:
import urllib2
variables = {'variable1': value1, 'variable2': value2}
urllib2.urlopen('http://yoursite.com/index.php/yourform', variables)
# your form has now been spoofed.
Добавление заголовков и управления cookie-файлами для подмены любого пользовательского агента также просто