Äh, Session werden von PHP direkt unterstützt. Der Weg über die hidden Inputs wäre der Umweg. Und der ist viel unsicherer, da die Daten zwischen dem Senden von dir und dem Empfangen geändert werden konnten und damit eigentlich noch mal auf Validität geprüft werden müssen. Bei Sessions musst du "nur" prüfen, ob die Session-ID gültig ist.