Come giustamente ti fa notare optime, usare una sessione al posto di accodare al url ti evita di mostrare a tutto il mondo i parametri in esso contenuti, e se non blocchi l’indicizzazione anche ai motori di ricerca, ma anche eventuali tools di analisi, ai log del server ecc. Questo se ovviamente lavori sullo stesso server. Oltre questo se non ho capito male tu proteggi quei dati sensibili solo con l’occultamento del nome della pagina? Chi trova quella pagina trova il tesoro? Non metti in atto nulla per identificare chi visita quella pagina prima di darli i dati? Se si ricorda che: “la sicurezza mediante l’oscurità non funziona” (cit. Ryan Russell, Hack proofing 2002)