El $_GEt recoge la variable de la url y el $_POST las recoge de aquellas que han sido enviadas por formularios. Una forma de que no se vean la variables por la url es usando htacces haciendo uso del modrewrite que te permite trasnformar las urls. De todos modos yo diria que lo "no seguro" es el modo en que recoges las variables y no el echo de que estas esten en la url.

Saludos