Hola, creo que tu problema se soluciona si pasas esa variable por POST al archivo php, de esta forma te evitas cualquier ataque por url.