Supongo que se referirá al envío de contenido "sensible", es decir, cosas que puedan comprometer la seguridad de una forma "no técnica", como una contraseña y no al hecho de poder alterar ese resultado para explotar vulnerabilidades (por carencias del script).

Por ejemplo, si queremos enviar user y contraseña por POST, podemos hacer el envío de la contraseña cifrada previamente con MD5 (por ejemplo) mediante Javascript.
De esta manera, teniendo la contraseña cifrada en MD5 en nuestra base de datos, buscaremos directamente. Ya no sería necesario que PHP cogiese la contraseña real, la cifrase y posteriormente hiciera la comprobación en la base de datos.
En caso de que alguien pudiese ver ese parámetro, se encontraría con un MD5 y no con la contraseña real (sin cifrar).

De todas formas, salvo contadas excepciones (inserciones directas del usuario, por ejemplo), las comunicaciones por GET/POST para manejar datos "sensibles" bajo una misma aplicación nos indica que no estamos haciendo una arquitectura correcta.


En cualquier otro caso, como el envio de contraseñas, contra ataques MITM podemos usar un protocolo criptográfico como SSL