Creo que lo minimo es POST, aunque si va el password asi limpio veo unas pocas ventajas nomas. Como que no quede en los logs de "accesos" a la paginas y que se pueda ver enteramente en la direccion que se accedio ( con nombre y pass ), aunque no evita un sniffing sobre el ethernet/wireless segun se use, o man-in-the-middle.
Dependiendo del tipo de informacion que poseas en tu DB y la importancia dependera de que tan complejo debe ser la seguridad, lo feo es que no es tan facil poner HTTPS en el PIC xD
Tambien seria necesario un ID de sesion, de parte del servidor al cliente y que vas a tener que manejar en tu PIC, tambien por otros problemas de seguridad.
Creo que problemas de seguridad son muchisimos :/, y realmente no estoy inmerso en el tema como para aconsejar que es lo correcto y que no.
Y todo va a depender de que lo poseas en la DB y la sensibilidad de la informacion.
Creo que hay otras personas mejores calificadas para hablar sobre el tema de seguridad y darte algunos tips para mejorar la seguridad o hacerlo totalmente seguro.
