没有额外的安全性。

Post数据不会显示在历史和/或日志文件中，但如果数据应该保持安全，则需要SSL。 否则，任何嗅探线路的人都可以读取数据。

许多人采用一种约定(Ross提到过)，即GET请求只检索数据，不修改服务器上的任何数据，而POST请求用于所有数据修改。虽然其中一种并不比另一种更安全，但如果你遵循这个约定，你可以应用横切安全逻辑(例如，只有拥有帐户的人才可以修改数据，因此未经身份验证的post将被拒绝)。

我不打算重复所有其他的答案，但有一个方面我还没有看到提到——那就是数据消失的故事。我不知道去哪里找，但是…

基本上，它是关于一个网络应用程序，每隔几晚就会神秘地丢失所有数据，而且没有人知道原因。检查日志后发现，该网站是由谷歌或其他任意蜘蛛找到的，它很高兴地GET(读:GET)它在网站上找到的所有链接——包括“删除此条目”和“你确定吗?”链接。

事实上，部分已经提到了。这就是“不要在GET上而只在POST上更改数据”背后的故事。爬虫会很高兴地遵循GET，而不是POST。即使robots.txt也不能帮助对抗行为不当的爬虫。

RFC7231:

uri的目的是共享的，而不是安全的，即使它们被识别 获取资源。uri通常显示在添加到的显示器上 模板当一个页面被打印出来，并存储在各种 未受保护的书签列表。因此，包括 URI中的敏感信息、个人身份信息、 或者是要暴露的风险。

服务的作者应该避免在提交时使用基于get的表单 敏感数据，因为这些数据将放在 请求目标。许多现有的服务器、代理和用户代理都有日志记录 或者将请求目标显示在可以看到它的地方 第三方。这样的服务应该使用基于post的表单提交 相反。”

这个RFC明确指出不应该使用GET提交敏感数据。由于这句话，一些实现者可能不会同样小心地处理从GET请求的查询部分获得的数据。我自己也在研究一个保证数据完整性的协议。根据这个规范，我不应该保证GET数据的完整性(我将这样做，因为没有人遵守这些规范)

我通常的选择方法是:

GET用于稍后将通过URL检索的项 例如，搜索应该是GET，所以你可以做Search .php?s=XXX POST将被发送的项目 与GET相比，这是相对不可见的，并且更难发送，但数据仍然可以通过cURL发送。

除非使用https，否则不存在安全性—使用https, GET和POST之间的传输安全性是相同的。

但是一个重要的方面是客户机和服务器在记住请求时的区别。在考虑使用GET或POST进行登录时，要记住这一点非常重要。

使用POST，密码由服务器应用程序处理，然后丢弃，因为一个好的设计不会在数据库中存储密码——只存储加密安全的散列。

但是使用GET，服务器日志最终将包含包含查询参数的请求。因此，无论数据库中的密码哈希值有多好，服务器日志仍然会以明文形式包含密码。除非对文件系统进行加密，否则即使在删除日志文件之后，服务器磁盘仍将包含这些密码。

使用访问令牌作为查询参数时也会出现同样的问题。这也是为什么考虑在HTTP报头数据中提供任何访问令牌是有意义的原因——比如在授权报头中使用承载令牌。

服务器日志通常是web服务中最薄弱的部分，允许攻击者从泄露的信息中提升他们的访问权限。