En efecto... estás iendote del lado equivocado. No debes (ni puedes, menos con PHP) "ocultar" la URL... es esta la vía de comunicación ente tu servidor y el navegador... quizá con el clásico frame a el 100% logras que no se vea en la barra del navegador, pero sigue registrandose, se puede ver a través del código fuente y no es aplicable como metodo de seguridad; es algo simplemente estético.

Es el archivo (la "zona") el que debes proteger. Espero el siguiente enlace te ayude: http://www.forosdelweb.com/f18/holaaaa-alguien-sabe-proteger-paginas-con-php-287411/
Igual visita las FAQ.

Un saludo!