Cita: El hash lo realizó desde php siempre.
Entonces está bien tu método.
No obstante, por seguridad, a la hora de calcular el hash (la firma o signature) tienes que añadir un string o salt que el usuario desconozca:
Código:
sha1(id de sesion del cliente + valor select + 'esto_es_un_salt123456')
Si no, se puede llegar a adivinar cómo lo estás calculando.