> Po prostu zawsze wrzucaj pole typu hidden. Przy okazji to będzie dobrym
> zabezpieczeniem przed CSRF, jeśli przy odbieraniu formularzy będziesz
> odczytywać ID sesji tylko z danych formuarza, a nie z cookies.

Sprawa dotyczy zzęść administracyjnej CMS, która jest dość wiekowa i
chroniona. Przeróbka 100 formularzy zabiłaby mnie :-) W częściach
publicznych zwykle nie ma potrzeby uciekania się do takich patentów więc
minimalny nakład pracy ma priorytet no i stąd ten wątek.

A co do przekazywania ID w hidden to nie załatwi (chyba) sprawy bo PHP jeśli
nie ma sesji w cookies to szuka jej w GET z tego co pamiętam.

> Poza tym i na serwerze możesz stwierdzić, czy użytkowik obsługuje cookies
> i nie musisz generować JS do tego.

Zgadza się, ale co dalej jeśli nie obsługuje? Nie chciałbym pożegnać
użytkownika.

> Nawet nie czepiając się Flash, to *jest* zła implementacja.

Taaa... tylko jak przedstawić np. interaktywny rzut 3D centrum handlowego w
HTML? Czy nam się podoba czy nie to nie możemy klientowi powiedzieć, że nie
zrobimy tego bo Flash jest beee. Dlatego właśnie napisałem, że trzeba jakoś
egzystować w warunkach jakie nam stworzono.

> Tego typu dane powinny być trzymane w <input type=hidden> i powinny być
> ustawiane od razu jak się zmienią albo w <form onsubmit>. Modyfikowanie
> action albo submit() to jak wbijanie gwoździ trzonkiem młotka (też się
> da...)

A to już prawie plagiat :-) Też tego porównania gdzieś użyłem.
Wracając do wątku: jak napisałem wcześniej - dostosowuję stary projekt aby
działał z IE8. Tak już w nim jest, że skrypty reagują na GET a nie na POST.
Kiedyś to przerobię pewnie...