¿Por qué es inseguro GET o POST y no variables de sesion? . La inseguridad no te la da usar un método y otro, la pones tú al programar... no diré más porque seguro sabrás a lo que iría.

Ahora, ¿sabes qué son GET y POST?, ¿sabes qué es el protocolo HTTP?. En resumen, GET y POST son formas con los que se envía información al servidor, esta es una especificación HTTP (igual tienes PUT, pero este no es usado). Las sesiones son una herramienta de PHP que te sirve para propagar información a través de diferentes scripts. Que quede claro: UNA COSA NO SUSTITUYE A LA OTRA. Si necesitas enviar información al servidor, tienes que recurrir a GET o POST (que son los más usados) simplemente porque así se hace.

AJAX solo hace esas peticiones "en segundo plano", evitan recargar la página, pero la información se sigue enviando tal cual lo harías directamente.

Lo único que se me ocurre para que obtengas lo más parecido a la idea que tienes ahora (que, creo esta mal esa idea) es manejar todo en el cliente. Para evitar enviar información (entiéndase, "usar GET o POST") es no enviandola. Tendrías que cargar todo el contenido en una sola página y ocultar/mostrar determinadas partes de ese contenido con JavaScript, si necesitaras enviar información al final de cuentas, podrías hacerlo una sola vez, cuando finalice tu aplicación. Claro, pensar seriamente en algo así te causará más problemas de los que te solucionará, empezando por --ajá-- la seguridad , siendo parte del cliente, esta a su disposición todo el código y su comportamiento.

En resumen (y es todo lo que debí decir) tienes un error de concepto y el evitar "usar GET o POST" solo "por seguridad" es solo neurosis tuya .

Saludos