Siempre que uses QUERYSTRING las varialbles siguen a la URL de tu pagina que las procesa.

Creo que es imposible proteger los datos de ese modo, unicamente deben usarse para enviar parametros de poco o ningun valor y susceptibles de ser interceptados (codigo de productos, unidades, precio).
Pero desde luego nunca para validar un username y password.

Usa los formularios con metodo POST.