Hola,

Si, como todos los datos que envias por HTTP sin usar conexion segura (SSL o HTTPS). Desde un spyware en tu equipo (el del navegador), tu ISP, un proxy, ... son dispositivos que pueden acceder a los datos que se transmiten.

Ademas, si es por get, pueden obtenerlos si sigues un link desde la pagina que tiene los parametros en la URL via referer (accesos al servidor web), o mediante codigo javascript que alguien malicioso ha puesto en la pagina destino.

Por norma, POST es mas seguro, porque es necesario tener acceso a la peticion. Con GET solo es necesario tener acceso a la URL.

Saludos.

PD: ¿Realmente tiene que ver solo con PHP? ASP, JSP, CGI, sufren los mismos problemas.