Neither one of GET and POST is inherently "more secure" than the other, just like neither one of fax and phone is "more secure" than the other. The various HTTP methods are provided so that you can choose the one which is most appropiate for the problem you're trying to solve. GET is more appropiate for idempotent queries while POST is more appropiate for "action" queries, but you can shoot yourself in the foot just as easily with any of them if you don't understand the security architecture for the application you're maintaining.

最好是阅读第9章:HTTP/1.1 RFC的方法定义，以全面了解get和POST最初的含义。

除非使用https，否则不存在安全性—使用https, GET和POST之间的传输安全性是相同的。

但是一个重要的方面是客户机和服务器在记住请求时的区别。在考虑使用GET或POST进行登录时，要记住这一点非常重要。

使用POST，密码由服务器应用程序处理，然后丢弃，因为一个好的设计不会在数据库中存储密码——只存储加密安全的散列。

但是使用GET，服务器日志最终将包含包含查询参数的请求。因此，无论数据库中的密码哈希值有多好，服务器日志仍然会以明文形式包含密码。除非对文件系统进行加密，否则即使在删除日志文件之后，服务器磁盘仍将包含这些密码。

使用访问令牌作为查询参数时也会出现同样的问题。这也是为什么考虑在HTTP报头数据中提供任何访问令牌是有意义的原因——比如在授权报头中使用承载令牌。

服务器日志通常是web服务中最薄弱的部分，允许攻击者从泄露的信息中提升他们的访问权限。

没有额外的安全性。

Post数据不会显示在历史和/或日志文件中，但如果数据应该保持安全，则需要SSL。 否则，任何嗅探线路的人都可以读取数据。

正如之前一些人所说，HTTPS带来了安全性。

但是，POST比GET更安全，因为GET可以存储在历史记录中。

但更令人遗憾的是，有时POST或GET的选择并不取决于开发人员。例如，一个超链接总是通过GET发送(除非它使用javascript转换成post表单)。

区别在于GET发送数据是开放的，而POST是隐藏的(在http-header中)。

所以get更适合于不安全的数据，比如谷歌中的查询字符串。Auth-data永远不会通过GET发送，所以在这里使用POST。当然，整个主题有点复杂。如果你想阅读更多，请阅读这篇文章(德语)。

我不打算重复所有其他的答案，但有一个方面我还没有看到提到——那就是数据消失的故事。我不知道去哪里找，但是…

基本上，它是关于一个网络应用程序，每隔几晚就会神秘地丢失所有数据，而且没有人知道原因。检查日志后发现，该网站是由谷歌或其他任意蜘蛛找到的，它很高兴地GET(读:GET)它在网站上找到的所有链接——包括“删除此条目”和“你确定吗?”链接。

事实上，部分已经提到了。这就是“不要在GET上而只在POST上更改数据”背后的故事。爬虫会很高兴地遵循GET，而不是POST。即使robots.txt也不能帮助对抗行为不当的爬虫。