Форум PHP

Назрел такой вопрос, допустим, у зарегистрированного пользователя есть возможность удалять комментарии у своих фоток.
Иполюзуется POST метод при передачи данных скрипту,
так же используются сессия:

if(!isset($_SESSION['id']))
{
logout();
}

Если такой сессии нету то делается logout...

Так вот, если создать свою форму(свой html файл) используя тот же браузер и напрявить ее(форму) на тот самый скрипт с подменой id коммента, при этом надо быть залогиненным на сайте с данного браузера.
С таким раскладом возможно удалить чужой комментарий?

А вы что не проверяете, что зарегистрирован пользователь или нет?

Проверяю на залогиненность

Если вы проверяете, то как можно вам добавить что-то из "левой" формы?

В одном окне делаем логин - получаем сессию для браузера, в другом окне этого же браузера запускаем форму, сессию мы уже имеем, так как сделали логин, если бы запустили форму с другого браузера(без сесии) то не прокатила бы такая затея, сделался бы logout!

>В одном окне делаем логин - получаем сессию для браузера, в другом окне этого же браузера запускаем форму, сессию мы уже имеем, так как сделали логин, если бы запустили форму с другого браузера(без сесии) то не прокатила бы такая затея, сделался бы logout!

1. почему Вы считаете данные такой формы - левыми?
2. почему Вы считаете, что из другого браузера данные не пройдут?
Пройдут. Достаточно перенести кукисы. Или даже просто взять из них session_id

причем тут окна и формы? похоже Вы перечитали книжек "про шпионов" :)
оперировать нужно теми данными которые пришли на данный момент времени+данные сессии, и не важно откуда они пришли.
если бы запустили форму с другого браузера(без сесии) то не прокатила бы такая затея
прокатила бы, если аутентификация только по сид.
подмена сессии - это уже вопрос аутентификации и не надо мешать сюда удаление комментариев

К чему ещё лучше всего привязать аутентификацию?