Sulla sicurezza per come gestire i dati in arrivo tramite get e post ci sono enciclopedie, impossibile dirti come gestirli qui sul forum.
Intanto assicurati che i tuoi script che accettano tali parametri ne verifichino la correttezza, se un certo parametro deve essere un numero, controlla che sia un numero tanto per dire.
Se questi dati devono andare in un DB usa mysqli_real_escape_string().
Cose così già danno una qualche sicurezza.

Ciò che è certo è che dati inviati tramite get o post, se il tuo script non ne prevede l'uso non faranno niente di propria iniziativa.
Per capirci se allo script arriva un parametro di nome pippo, ma il tuo script non prevede l'uso di $_POST['pippo'] o $_GET['pippo'] quel parametro non farà assolutamente nulla.