quello che dici e' vero, ma dato che lui non ha online il file di cron non ci divrebbe essere sto pericolo di intercettare la get.
concordo sul fatto che mandarla con md o senza e' lo stesso
cmq potrebbe usare per esempio un http_refer per verificare che l'url di provenienza dia quello giusto