Cita: Yo no usaría un campo oculto, sino una variable de sesión en el servidor. El motivo? Que te pueden falsear un HTML que tenga esos valores, al fin y al cabo es limitarse a hacer un POST.
Piensa que los sistemas de pago son muy jugosos para "petar", cuantas más variables dejes en el código visible (en la página web) más pistas les das a los usuarios para petartelo.
Una cosa más que puedes hacer, como añadido, es eliminar el historial del navegador.
Tienes mucha razón, pero como sería eso de trabajar con sesiones de servidor (con usuarios no registrados)? Ya que como te darás cuenta, soy un completo novato en esto.
Muchas gracias.