Lo que es ver el código fuente de ese createpdf.php no lo va a ver (salvo que falle tu servidor y no funcione PHP .. en tal caso entregaría el archivo para descargar tu navegador (suele ser lo que hace ..)

pero, si te preocupa que ejecutando directamente createpdf.php van a ver ese archivo .pdf que se genera o dato que muestre tu script en general .. Valida que el acceso sea por tus variables que necestia tu script ..

Valida la existencia (y rangos si corresponde) de tu "category" y de tu "idnoticia"

Ejemplo:

if (empty($_GET['category']) || empty($_GET['idnoticia']){
die ("Acceso no permitido");
}

A continuación puedes validar esas variables por rangos .. si sabes que son numeros .. que sean numeros y no caracteres por ejemplo
is_numeric() .. y de ahí que sea positivo (ya que no tendrás "idnoticia=-1" ... supongo ..)

Y mejor si despues de esto validas que exista ese IDnoticia y esa "category" haciendo una consulta a tu BD para ver si existe algún registro que mostrar ..

En fin .. se trata de validar las condiciones que tu script requiere.

Un saludo,