Puedes enviar las variables en vez de por url por metodo post, asi no se veran las variables. Si la unica manera es enviando las variables por el url usa la funcion base64_encode, para que no se vea lo que estas mandando por el url, en la pagina donde vas a recibir las variables debes usar base64_decode para obtenerlas en su forma original