Hallo Andy,

ausserdem brauche ich keine versteckten elemente weil das alles in der abteilung bleibt und es keine idioten gibt die probieren eine seite zu hacken

Das was Soenke meinte, war nicht die "Sicherheit" - POST ist nicht wirklich sicherer als GET, es ist fuer die Hacker nur ein wenig aufwendiger, eine POST-Abfrage zu faelschen, als eine GET-Abfrage (d.h. URL-Manipulation).

Du solltest Dich mit dem Unterschied GET/POST vertraut machen.

Wenn Du nur eine Variable uebergeben willst, die schon
festgelegt ist (also keine Benutzereingabe), ist ein Formular
eigentlich Overkill - ein einfacher Link reicht auch (=GET,
Parameter sind fuer User in der URL sichtbar und einfach
zu manipulieren).

Wenn Du eine Variable weitergeben willst, die der Benutzer
nicht veraendern _sollte_, und aus irgendwelchen Gruenden
ein Formular eingesetzt wird, dann ist die korrekte Position
der Variable eben ein "verstecktes" Formularfeld. Das Formular
kann per GET oder POST abgeschickt werden.

A propos Sicherheit: _Alles_, was vom Browser/Client kommt,
ist grundsaetzlich als "boese" zu betrachten, d.h.
GET/POST/COOKIE-Variablen.
Das gilt _auch_ im Intranet und bei einer geschlossenen
Benutzergruppe.

http://www.dclp-faq.de/ch/ch-security.html
insbesondere:
http://www.dclp-faq.de/q/q-sicherheit-parameter.html

HTH, mfg
Thomas