Buen día! tengo una duda respecto a la seguridad de las sesiones en PHP.. investigando un poco eh tratado de implementar un sistema de sesiones para mejorar su seguridad

Mi sistema funciona así:

-Todas las sesiones se almacenan en una BD MySql
-La información de las sesiones es encriptada y así se guarda en la BD
-El ID de sesión también es de 128 caracteres aleatorios y cambia cada vez que se llama a la sesión

-Ademas por cada movimiento en la web se genera un token (con la IP - EL Navegador - una palabra secreta y un numero variable encriptado con sha512) en una variable de sesión y cambia por cada movimiento en la web, y es comprobado en el siguiente movimiento para ver si coincide, y si no.. se destruye la sesión.

Mi duda es que es mas seguro respecto al token:
Mantenerlo en una variable de sesión?
O meterlo a un input hidden en el HTML?