Para que no aparezca en la URL tienes que mandar el parametro por post, lo cual implica crear un form y luego enviarlo con un boton o usando un enlace y JavaScript.

Sin embargo, tambien hay que decir que no hay que perder demasiado tiempo en intentar que no te puedan modificar los parametros por que escribirlos a mano o hacer un form que los envíe es facilismo. Es más "sencillo" asumir que te pueden mandar un valor no disponible, cosa que puede ocurrir incluso en funcionamiento normal si se borra un registro despues de haber creado el enlace, y simplemte tenerlo en cuenta para mostrar una pagina que diga "valor no disponible" o similares.

Luchar contra la manipulación de parametros en el cliente es una batalla practicamente perdida, es mejor invertir esfuerzos en otras batallas donde el terreno es más favorable .

S!