yo he pensado que en el index.php y al principio del script compruebe la url y que solo acepte letras, numeros y la barra "/" y luego separe las barras de la url y saque las variables y las compruebe y si no es ninguna de las que pido le devuelve a la pagina de inicio, asi evitaria que nadie meta algun codigo raro a traves de la url, estaira controlado. no se si habra una forma mas simple que esa, a ver si alguien me puede ayudar.