Los datos propagador por el URl son facilmente adulterables como ya conoces, tambien las validaciones del "REFERER".

Puestos a modificar código de tu aplicación externa (que por suerte tienes acceso a su código) .. ya dá igual si usas sesiones o si haces una consulta SQL en ese punto y script.

Te hago el comentario por qué como dices que usas cierto CMS .. ese sistema ya manejará su gestión de usuarios .. su control de sesiones (o en cookies? ..) en fin .. primero tendrás que estudiar como trabaja ese punto para poder acoplar tu aplicación.

Para eso (incluido tu "ofuscación" de datos que haces usando base64 ...) .. mejor usa encriptación de datos. Sólo tendrás que conocer la "semilla" usada para la encriptación en un lado (quien genera esos datos) y en el otro lado (quien los recibe).

En esta FAQ se presenta una leve mejora a lo que ya haces con "base64" ..
http://www.forosdelweb.com/showpost....&postcount=159

Pero realmente lo que sería seguro es que "encriptes" realmente dicha "cadena" (datos a propagar el en URL):

LXXV. Funciones de Cifrado Mcrypt
http://www.php.net/manual/es/ref.mcrypt.php

Pero .. todo esto y más "natural" se resuelve con una simple -sesión- ... pues los datos NO viajan al cliente en nigún momento (donde podrian ser adulterados) sino que permanecen en el servidor .. También por el mismo método validas automáticamente que tu script de proceso de vCard sólo se llama desde una página de tu sitio y en el proceso/secuencia que corresponde.

Eso sí .. tu no estás trabajando con una aplicación "independiten" totalmente . .sino que estás haciendo un "módulo" para cierta aplicación ya pre-fabricada (CMS) .. así que primero hay que "investigar" como maneja las sesiones (si es que las usa) dicho sistema para meter tus própias variables de sesión que ahora generarías.

Un saludo,