Presumo che ci sia un meccanismo di autenticazione non visibile negli URL di esempio che ci hai mostrato e che il traffico sia protetto da SSL.
L'unica volta che qualcuno può vedere la richiesta ma non la risposta è nei registri del server - li memorizzi davvero in modo diverso da come gestisci i dati dell'applicazione?
Se gestisci l'accesso ai tuoi registri, poiché la risposta includerà i dettagli del cliente, cercare di limitare o nascondere le informazioni nella richiesta non ha alcuno scopo utile. I log OTOH sono archiviati ad entrambe le estremità dell'interazione; i tuoi utenti sono meglio serviti nascondendo i dati? Questo dipende dal servizio che offri, dalla tua base di utenti e dalla natura dei dispositivi utilizzati. Ma nella maggior parte degli scenari posso immaginare, per qualcuno che vuole osservare queste informazioni, i bit interessanti possono essere visti in altri posti rispetto alla query nell'URL.
Un'ulteriore considerazione se la specificità e il costo del trattamento. Cosa succede se hai più di un record con lo stesso fname e lname? Se il costo di risoluzione di una forma di query è particolarmente elevato, allora potrebbe essere una strada per un attacco DOS.