Und diese neue Seite? Die überprüft dann wieder alle Variablen usw.?
Oder vertraut sie ihnen blind?

Die neue Seite prüft nur die SessionID wieder.
Bei den anderen Werten wird schon abgefangen, wenn sie außerhalb des Wertebereiches liegen. Somit könnte jemand vorgaukeln, er hätte andere valide Optionen gewählt, aber wozu, er hätte sie ja sowieso wählen dürfen.

Warum? Unsicherer als per POST ist das auch nicht ...

Naja, jeder kann in der URL lesen, was da steht und beliebig Werte verändern. Die POST-Methode zu verändern mag zwar auch einfach sein, aber nicht so offensichtlich (ich wüsste nicht auf Anhieb wie).