es cosa de aprender php
no es .php?=
es
.php?variable=valor
usualmente los novicios tienden a no filtrar sus solicitudes a la DB, así que hacen un
y en el código
$pagina = $_GET["pagina"]
$sql = "SELECT * FROM tabla WHERE campo='$pagina' ";
esto permite a una atacante hacer una segunda peticion alli
lo peligroso no es el ?pagina=1, es como se filtre eso una vez dentro del servidor...
por toro lado a tu pregunta, como se puede evitar, eso se arregla con "url amistosas" sin embargo el problema persiste si no se filtra la data