jaja, que buena discución, yo la verdad la mando a sessión y la codifico, como pues fácil de 2 maneras la dificil es utilizando un encriptador que cree que usa AES-256 pero eso lo hago cuando necesito usar unos ids que necesito en mi sistema siempre, y la otra es creando una nueva clave o codificandola puedes usar los comandos en hexadecimal

base64_decode y base64_encode para decodificar y codificar o el base()

de esta manera si bien no mantienes una seguridad WOW de confiable garantizas ke los usuarios no puedan ver el código.

por otro lado recuerda ke lo úniko seguro de un sistema es la inseguridad que posee... pasarla a sessión es un manejo de seguridad en la web debido a que a diferencia de los cookies estas sessiones se crean en archivos dentro del servidor y son tratadas a nivel del server