Bueno, había hecho una respuesta referente al tema pero seguramente se perdió con el reciente problema del foro.

@franco190453:

Entiendo tus puntos, realmente lo hago, pero relacionado a la seguridad, es un método muy frágil.

Lo que estás mostrando es aceptable como una dirección amigable a lo sumo, pero como forma de mejorar la seguridad no es aceptable, es el típico ejemplo de seguridad por oscuridad el cual en cantidad de oportunidades ha dejado claro que no es, ni será, una solución real para los diferentes problemas que pueden comprometer el estado de los datos.

Este método para esconder variables es como lo que hacen muchos al definir el handler de php como el encargado de procesar archivos .html con la esperanza de que un posible atacante no sepa el tipo de código usado por el sitio.

Tomando en cuenta la cantidad de aplicaciones capaces de hacer peticiones de forma automatizada a un sitio web, el método no es capaz de ofrecer una mejora importante a nivel de seguridad.

Si, alguien que "vea" la URL no sabrá de primera mano qué partes de la URL se refieren a variables y qué partes no, pero como dijo oso96_2000, nada cuesta probar enviando diferentes valores en cada parte de la URL, y si utilizas una herramienta que haga el trabajo por tí, cuánto se puede tardar en saber qué es variable y qué no? menos de un minuto? puede que dos?

Debido al poco tiempo que se llevaría reconocer lo que esa URL "esconde", es que digo que el método es frágil para ser ofrecido como una mejora en la seguridad, esto claro, es mi opinión, nada más :)

@oso96_2000:

Es preferible usar htmlentities a utilizar htmlspecialchars debido a que el rango de caracteres modificables por la última, es menor y debido a la cantidad de payloads que existen y se pueden probar, es posible vulnerar las modificaciones que pueda hacer htmlspecialchars.