Prima cosa, usare $_GET così possa essere un pò pericoloso, basta indovinare un pochino e ci avrò il tuo /etc/passwd

codice:
file.php?img=../../../../etc/passwd

Comunque, il modo migliore per nasconderlo sarebbe probabilmente usare un id, ma poi hai bisogno di una tabella che serve come mapping. Se no, penso io sceglierei mod_rewrite.