Lo que un experto en seguridad te diría es que todo lo que quieras proteger lo hagas de cara al servidor. De todas formas el que sepa y quiera te va a fastidiar igual. Siempre puedes recurrir al php y el envío de variables al servidor llamadas
SESSION. Te pongo un ejemplo:
Código PHP:
Ver original<?php
?>
#En vez de poner el hidden tendrias que hacerlo mediante onClick en el botón que envia el POST de esta forma:
<input type="submit" name="Enviar" value="Enviar" onClick="<?php $_SESSION["variable"]="valor"; ?>">
#Cuando pulses en el boton de enviar se pasaran las variables al servidor web. de este modo también puedes cambiar los valores de las variables y reducir códigos usando solo un SESSION para enviar muchas variables o incluso enviar arrays pero eso ya es más difícil.
Para recoger la variable en otra parte tendrías que hacerlo así:
Código PHP:
Ver original<?php
#En vez de usar POST pues usas SESSION (No abuses de ellos, siempre que puedas usa POST)
if($_SESSION["variable"]=="valor"){
#Aquí tu codigo.
}
?>