> Ale POST wcale nie jest bezpieczniejszy niż GET! W obu przypadkach każdy
> ma możliwość przesłania ci dowolnych danych.

Ja nie mówiłem o bezpieczeństwie wcale lecz o utrudnieniu ingerencji. Powiem
na przykładzie: był kiedyś formularz kontaktowy na jakimś serwisie
wykorzystujący GET. Okazało się, że w pewnym momencie przychodziły z niego
jakieś dziwne emaile i to po kilka na sekundę. Poproszono mnie o pomoc w tym
temacie. Z chwilą gdy przerobiłem go na POST ruch natychmiast ustał.
Dodatkowo dorzuciłem jeszcze w ukrytym polu ID transakcji aby jeszcze
bardziej ograniczyć działalność botów spamerskich.

> Nawet nie potrzeba do tego specjalnie hackerskich narzędzi, np. w Operze
> można otworzyć źródło strony, przerobić formularz, odświeżyć stronę z
> cache i wysłać przerobione dane.

Ale to już wymaga znacznie większej ilości pracy. Niewiele osób ma ochotę
grzebać aż tak głęboko. GET wypełnią nawet nudzące się dzieci.

> POST przyciąga spamerskie boty znacznie bardziej niż GET, a dobrym botom
> można zakazać GET w robots.txt.

Sęk w tym, że identyfikacja takiego bota jest żadna. Przypadkowy IP,
podszywanie się pod przeglądarkę itp. Nie ma jak zakazać.

> OK, ale proponuję to robić dodatkowo, a nie zamiast tworzenia niezawodnych
> URL-i.

No dobrze, a po co w serwisie dwie wyszukiwarki oferujące to samo tyle
tylko, że jedna pracująca w trybie GET i nie pozwalająca na łatwy powrót do
niej gdy w łąńcuszku zdarzeń jakiś POST się przytrafił?

> To nie ma związku z wyszukiwarką, szczególnie jakbyś prawidłowo użył GET.

Akurat to ma związek m.in. z wyszukiwarką i każdym innym formularzem w
serwisie. Jeśli wszystkie formularze zostaną zamaskowane w podobny do
wspomnianego sposób to wszystkie zadziałają w sposób intuicyjny dla
oglądającego w chwili gdy będzie on cofał się o dowolną ilość kroków.

> Kiedy potrzeba użyć POST, to ten bug obchodzi się wysyłając status 303 i
> przekierowanie.

Nie zaskoczyłem? Co można w ten sposób zyskać i jak miałoby to działać?
Jeśli możesz to przedstaw mi krok po kroku wypełnienie formularza i wpływ
tej medody na problem "wstecz".

> Tego się nie czepiam. Czepiam się, że używasz POST zamiast GET tam, gdzie
> się nie powinno.

POST tak czy owak muszę stosować choćby z uwagi na limit danych GET. Już raz
musiałem przerabiać formularz gdy zaczął się rozrastać aż w końcu
przekroczył limit. Spróbuj potem namierzyć problem gdy coś bardzo
sporadycznie przestaje działać... GET jest dobry dla prostych i zamkniętych
rozwiązań typu wyszukiwarka Google. Gdy co jakiś czas musisz dodawać nowe
funkcje, bo klient tak sobie życzy, to zrobisz sobie krzywdę prędzej czy
później bazując na GET.