Originariamente inviato da _debo
La risposta corretta è che sono entrambi equamente vulnerabili dal punto di vista del code injection il tutto dipende da che dati stai passando, da quanto sono sensibili, da che tipo di operazione stai eseguendo e così via.

L'unica reale vulnerabilità che vedo nel tuo caso basandomi sulle informazioni che hai dato, è che un attacker può lanciarti uno script che itera sui potenziali id pacchetto scaricandoli tutti in modo automatico senza nemmeno dover cliccare con potenziale sovraccarico del server e possibile conseguente DoS.

Tieni presente che la vulnerabilità non è dettata dall'uso di get o post in questo caso ma dal fatto che un pacchetto ha un id progressivo invece che un hash
scusa l'ignoranza, che intendi per hash? cmq si, ogni pacchetto ha un id progressivo