1) cacher l'adresse URL
tu caches légalement, honnêtement, élégament tes adresses url par l'URL Rewriting (voir sur les bons sites dédiés à cette technique): ton url "monsite/repertoirre/article.php?page=1&catégorie=2&user=tom
devient "monsite/la_page_de_tom.html"
la_page_de_tom.html est un nom de fichier virtuel (donc qui n'existe pas.)
En plus que tu ne fais pas fuir de ton site, l'internaute qui a 2 sous de bons sens et un peu de connaissances en failles de sécurité (voir plus loin). De plus, tu améliores ton référencement sur google qui préfère indexer la_page_de_tom.html plutôt que ton url native, charabia incompréhensible pour lui.

2) cacher le code source: là tu m'inquiètes un peu.
le serveur envoie au navigateur du code source interprété en html: cacher du html qui est un langage statique n'a pas de sens. ça ne va pas me donner pour autant le listing de ton fichier index.php. Reste que le javascript est envoyé non interprété puisque ce langage s'exécute côté client. Si tu ne veux pas que le visiteur voit le contenu intime de tes fonctions javascript, tu places tes javascripts dans un fichier spécial en .js que tu appelles par un link dans la partie <head> de ton code html. et là on en vient à l'essentiel (car sinon tu n'as encore rien fait d'utile pour la sécurité)
TU PROTEGES TES REPERTOIRES ET TES FICHIERS CONTRE L'INTRUSION DES PETITS MALINS COMME MOI QUI SE FOUTENT DE TON CODE SOURCE FOURNI PAR LEUR NAVIGATEUR COMME DE L'AN 40. (même si je commence par regarder le code source pour me faire une opinion sur l'auteur du script: voir si c'est du code html bien structuré ou du n'importe quoi. au passage je récupère les noms de variables utilisées dans les posts, mais ça n'a aucune importance. voir infra l'énoncé des règles).

Quand tu écris une ligne de code autre que du html tu te poses chaque fois un certain nombre de questions:
ai-je respecté scrupuleusement la règle (secure 100% qu'on trouve sur les bon sites) pour me protéger contre la faille include?
- ai-je respecté scrupuleusement la règle (secure 100% qu'on trouve sur les bon sites) pour me protéger contre l'injection sql? (si tu manipules une base de données)
- ai-je respecté scrupuleusement la règle (secure 100% qu'on trouve sur les bon sites) pour me protéger contre le CSS-XSS? (si tu utilises les méthode GET ou POST)
- ai-je respecté scrupuleusement la règle (secure 100% qu'on trouve sur les bon sites) pour me protéger contre la manipulation des variables?
- ai-je respecté scrupuleusement la règle (secure 100% qu'on trouve sur les bon sites) pour me protéger contre la manipulation des URL?
ça c'est le ba ba pour avoir ton certificat élémentaire d'étude de sécurisation d'un site.

Si tu respectes ces règles, sans faire aucune exception, t'as éliminé 99% des farceurs qui vont essayer d'attaquer ton site (vu qu'eux n'ont pas dépassé le niveau certif élémentaire d'attaquant) . Mais désolé, et au rique de paraître immodeste, tu ne m'as pas éliminé. reste encore pas mal à faire.

ton code terminé et mis sur ton site tu te demandes:
- ai-je placé à la racine de mon site un fichier .htaccess auto protégé contenant toutes les protections qu'il est d'usage d'y mettre?
- ai-je placé mes fichiers inclus dans un répertoire des fichiers inclus protégé contre toute intrusion, y compris de moi même?
- ai-je bien limité la lecture-écriture dans mon répertoire images aux seuls fichiers d'image?
est-ce que j'utilise pour m'identifier un login et un mot de passe qui respectent les règles de sécurité? (à chercher sur les bons sites)
- ai-je correctement configuré mes CHMOD? (je te signale que chez certains hébergeurs il sont par défaut à 777!!!!!)
ect. liste non limitative.

terminons par le plus important dans ta question: t'as trouvé un truc pour qu'aucune URL même celle de l'url rewriting n'apparaisse dans une fenêtre de mon navigateur (mais ça sera toujours dans le code source): c'est possible et en cherchant bien tu trouveras un script sur un site adhoc. Mais sache alors que tu ne me verrras jamais sur ton site, parce que je ne vais pas chaque fois aller voir ton code source pour lire le contenu du lien sur lequel j'envisage de cliquer.
Pourquoi? quand tu auras trouvé la réponse, je t'enverrai ton diplome de réussite au bacalauréat de sécurité informatique.

Et aux autres je dis: si vous ne voyez pas l'URL d'un lien, vous ne cliquez pas - ou cliquez et prenez le risque d'aller un jour raconter dans un forum, les larmes aux yeux, votre mésaventure.