Pues si pones el código que usas veremos donde estás "redireccionado" por GET .. En algún punto haces un window.location .. o similar .. o un header("Location: ....") ? .. Por qué si haces eso y ahí en ese URI propagas tus "usuario/password" estás propagando datos por GET (=URL) .. En tal caso deberías usar sesiones o cookies (mejor sesiones) para realmente seguir "ocultando" esas variables ya que en el caso de sesiones permanecerían en el servidor y no serían propagadas por el URL como parece que de alguna forma lo haces.

Un saludo,