Ergo reduziert es sich auf die Frage, ob ein Server bei Method=GET dennoch einen unerwarteten requestbody in die Umgebungsvariable schreibt. Dass reguläre Clients[1] bei GET einen Requestbody nachschieben, schliesse ich mal aus. Bei Apache als Server müsste man halt den Test machen.

Also folgendes:

Apache nimmt bei GET ein request body nur dann an, wenn ein Content-Length-Header die Anfrage begleitet. Dagegen quittiert lighttpd jede GET-Anfrage mit Status 400. Generell ist aber anzumerken, dass Geschichten wie XML-RPC oder SOAP von POST ausgehen. Das entspricht ja auch soweit der Interpretation von RFC 2616; 9.5.

Gruß aus Berlin!
eddi