Los campos hidden se pueden ver directamente en el código, no hay como ocultarlos, la verdadera seguridad está en el servidor, unos consejos básicos serían nunca usar los mismos nombres de los campos en un formulario para los campos de la base de datos, protegerse contra SQL Injection y cosas por el estilo. Pero en fin, tratar de "protegerse" de Javascript veo innecesario.