Lo que debese usar son sesiones .. generalas cuando autentifiques tu usuario .. y usa esa variable de sesión para tus registros y acciones de tu aplicación .. no propagues por el URL ese "código" sino que quede en una sesión .. así no es modificable por el usuario en el URL.

En las FAQ's de este foro tienes ejemplos de que son y uso de sesiones.

Un saludo,