Enhorabuena por conseguir que funcione tu sistema!

Lo de tener texto en la url en principio no es malo a nivel de uso, pero es poco profesional y si quieres antiestetico, ademas que propicia que algun usuario intente enviar su propio texto; mientras estas navegando desde el mapa de paginas en la url te sale el texto probablemente como url-encoded, aun así alguien puede cambiar una letra o una palabra o todo el campo selectapar directamente de la barra de navecacion (tambien se aplica a los datos que tienes en el select html, culquiera puede visualizar el codigo y la direccion del php a la que apunta el form y enviar datos modificados). Esto implica que deberas tener un mayor manejo de errores (por ejemplo que la ejecucion de tu php no arroje warnings con informacion util para el atacante) y un mayor control con todo lo que se envia a la bdd (por ejemplo usando la funcion de escapado). Si quieres probar en tu propio codigo el agujero de seguridad puedes buscar algun manual de inicio a las tecnicas de injection pero no para hacerlas en otras paginas sino para ver que puntos debiles tiene la tuya y comprobar la utilidad del escapado de caracteres reservados (real_escape_string). Hay mas tecnicas para proteger (encriptar contraseñas con md5, etc), tendrias que encontrar un manual por ahi y comprobar todos los puntos.

Saludos
vosk