Haz una prueba simplemnete coje ese formulario...

lo abres como si fuera un fichero en local desde el navegador y veras como funciona perfectamente...

entonces depende de para q uses hidden si no vigilas pues puede ser inseguro..ya q cualqueira puede tener el codigo fuente del script...

a mi modo de ver lo mas seguro es usar http_referer..aunque en navegadores antiguos pueda fallar pero actualemtne funciona en la mayoria..

de este modo te aseguras q q por mucho q alteren campos hidden q uses para opviones al recibir el formulario..no podran hacerlo ...pq solo aceptas q el formulario venga desde tu host.

pues eso...

Salu2.