A primera pregunta.

Lo mejor es validar con sesiones, los valores por GET solo dejalos para el caso que necesites procesar algo, ya que como bien dices los puedes manipular solamente cambiando la dirección.

A tu segunda pregunta, no es posible ver el codigo fuente PHP, esto es porque PHP se procesa en el servidor y no en el cliente.

Saludos