Moin,

Lieber muhertle!

Es macht m.E. keinen wirklichen Unterschied,
ob Du einen Querystring in der Adressleiste (GET) übergibst,
oder mit dem Header übergibst (POST)

Veränderbar ist es auf jeden fall.
m.E. sind Sessions besser geeignet,  aber Sicherheit bietet
das auch nicht unbedingt.
Jedenfalls wäre es mal keine Plaintext Übertragung.

Autsch...
Vielleicht dann doch besser nicht antworten.
Dein Wissen scheint um Sicherheit von Skripten scheint ausbaufähig.
TomIRL