xmoonlight

Представителю услуг Вы генерите свой ключ, который он использует для формирования письма через ваш портал клиенту.
После оказания услуг на почту клиенту от портала приходит письмо.
Клиент кликает: написать отзыв.
Вы сверяете, что клиент тот через строку запроса и даёте ему оставить отзыв.
Профит!

G - глобал

Responsive: 1 страница всех ресурсов + ajax get/post

Увеличьте мощность БП

Не возводите хаос в квадрат: сделайте маркировку!

значит они действительно присутствуют

Что-то вроде автоматического 301 редиректа для изображений через .htaccess?

Почти в 10-ку!
1. Не 301, а QSA+NC правило, чтобы сделать регистро-независимую выдачу.
2. mod_speling
3. Или загонять все через скрипт. (совсем крайний случай!)

С Архитектуры!!!!

1. CSS - Сброс параметров по-дефолту.
2. Последовательный вывод списком всех базовых типов (h1,h2 и т.д.)
и нужных блоков с настройкой верстки на каждый новый тип/объект/блок.
Проверка вложенности и прочие "грабли". Запуск в разных браузерах.
3. Верстка сеток страниц с подготовленными стилями (в п.2)
4. Профит! (js - добавляю после, если необходим...)

куки

+ ко всем перечисленным выше:
HTML5 HistoryAPI еще можно юзать и заменять...
можно ajax загрузку юзать и заменять....
много как можно.... вопрос - зачем?)

Пишется демон (db-wrapper) на сокет, который получает ключ из файла (или другого хоста) для дешифрования результата БД внутри этого процесса-демона. Соль ключа - хранится внутри этого процесса с привязкой к домену или MAC-интерфейса.
Демон запускается от имени другого пользователя с урезанными правами, нежели чем web-сервер и PHP.

Можно дешифровать данные непосредственно на клиенте через JS.
Но, это уже совсем другая история....

Говорите, ищите кнопку сделать "без даты"?)

OSI