Cita:
Iniciado por GatorV 
A primera pregunta.
Lo mejor es validar con sesiones, los valores por GET solo dejalos para el caso que necesites procesar algo, ya que como bien dices los puedes manipular solamente cambiando la dirección.
Aun así pienso que por ahí se puede colar un hack.
Cita:
Iniciado por GatorV A tu segunda pregunta, no es posible ver el codigo fuente PHP, esto es porque PHP se procesa en el servidor y no en el cliente.
Me lo suponía pero no estaba seguro.
Saludos y gracias.