Ciao,
questa roba
query=marca@=@3@and@modello@=@24"

non la passerei neppure via post, se non altro è uno stile orribile.
Per quanto riguarda la sicurezza...costruire una query prelevando intere stringhe dall'input dell'utente IMHO ti costringe a fare molta più attenzione nel validare tali stringhe.
Mentre se invece passi una serie di id o una singola parola i controlli possono essere più chirugici con minore fatica.