Benim tavsiyem tüm post işlemlerini sorgu sayfana gönderme.
Kullanıcı girişi örnek;
login.html -> kullaninicikontrol.php ( veri tabanından giriş kontrollerinin yapıldığı sayfa) yerine,
login.html -> formkontrol.php ( posttan gelen verilerin kontörlü ve bilgilerin hangi sayfadan gönderildiği testini yapan sayfa) sonrasında -> kullanicikontrol.php
bu sayede formun action kısmına veri tabanı ile işlem yapan sayfanın linkini yazmamış olursun.
Tabi ki yine de tam olarak bir çözüm değil ama kontrol sayfanın linkini arayan birini biraz daha uğraştırmış olursun.

Link yapısı için de php kullanma demiş verdiğin örnekteki site ama bence sadece güvenlik ile ilgili değil
domain.com/kategoriler.php?kategoriid=12 gibi bir link yerine domain.com/kategori adı gibi bir link yapısı hem güvenliği arttırır hem de seo için düzgün bir link yapısı olmuş olur.

Benim uyguladığım yada kullandığım yapı bu şekilde ilerliyor tabi ki konu güvenlik olunca sınırı yok eminim çok daha farklı yapılar kullanan kişiler vardır. Zaten bahsettiğim yapı mvc yapısı klasik php yerine laravel (ki ben sevmem) yada codeigniter (bence iyidir basit ve hızlı) gibi frameworkler ile çalışman güvenliğin konusunda çok fazla yardımcı olacaktır.