Una solución sería no propagar esos datos en el URL .. usar sesiones. De esta forma no viajan esos datos en el URL así que no son "tocables" ...

.. Esos datos que generas en un link en X página .. tendrás que guardarlo en algún sitio (volvemos a las sesiones) para poder validarlos (igualarlos) en la página que lo recibas ...

En definitiva .. se trata de validar esos datos en función de la relación de estos .. Por ejemplo .. ese tal "CODE" .. seguro que asignará o referenciará algún registro en una BD .. o tendrá que ser de tal rango o tipo (numérico) .. Ahora, dentro del rango y tipo correcto .. ahí ya no puedes validar nada más salvo intentar evitar propagar esas variables en el URL y usar cookies o sesiones.

Un saludo,