Si el hash lo estás calculando en el cliente, no consigues nada, porque un usuario suficientemente astuto mirará el script y verá qué algoritmo estás usando para generar los hashes. Si el usuario quiere enviar el valor X, simplemente tiene que calcular el hash para dicho valor X.

Es preferible utilizar AJAX en el cliente + $_SESSION en el backend. De esta forma, cada vez que el usuario realice una acción, puedes verificar en el servidor si dicha acción es legal o no, en base a valores previamente almacenados en $_SESSION. Si la acción es legal, añades la información (enviada por el cliente) a $_SESSION y le devuelves al usuario los datos actualizados, si es ilegal le devuelves un mensaje de error.