Si es búsqueda, puede ser riesgoso tanto POST como GET. Que POST no muestre el resultado en la barra de direcciones, no quiere decir que no tenga riesgos. Tu lo que debes hacer es filtrar los valores. Eso va a depender de la base de datos que tengas, si estás usando la librería de mysql, debes usar mysql_real_escape_string. Es forsozo usarlo cuando los valores vienen fuera de lo que hayas usado, o sea de otro usuario.