Seguridad en Sesiones PHP

Buen día! tengo una duda respecto a la seguridad de las sesiones en PHP.. investigando un poco eh tratado de implementar un sistema de sesiones para mejorar su seguridad

Mi sistema funciona así:

-Todas las sesiones se almacenan en una BD MySql
-La información de las sesiones es encriptada y así se guarda en la BD
-El ID de sesión también es de 128 caracteres aleatorios y cambia cada vez que se llama a la sesión

-Ademas por cada movimiento en la web se genera un token (con la IP - EL Navegador - una palabra secreta y un numero variable encriptado con sha512) en una variable de sesión y cambia por cada movimiento en la web, y es comprobado en el siguiente movimiento para ver si coincide, y si no.. se destruye la sesión.

Mi duda es que es mas seguro respecto al token:
Mantenerlo en una variable de sesión?
O meterlo a un input hidden en el HTML?

Definitivamente es mejor, porque la sesión no es visible para el usuario pues existe únicamente en el servidor.

Obviamente es peor porque expones dicha información al usuario, un scrapper bien podría extraer el token y automatizar llamadas a tus paginas, etc.

Te agradezco tu opinión, era lo que yo suponía mejor... pero es bueno leer que alguien mas opina lo mismo!