Cuando me refiero a no hacerlo desde el lado cliente me refiero a no usar javascript.
Y desde php lo que te sugiero es que envíes por post las variables o que las guardes en variables de sesión.
Mientras estén esas variables en la url están sujetas a cambios manuales