Hi!

Obwohl, Theoretisch wäre doch ein Formular, das im action-Attribut auf "?query=irgendwas" zielt und per POST versendet wird doch ein Request mit POST und GET, oder völlig falsch?

Nein, denn der UA wird im Request-Header die Methode als POST festlegen - dabei ist es unerheblich, ob ein Querystring angegeben ist oder nicht.

Damit könnte man wohl die POST-Requests, die irgendwelche Bots absetzen, ohne die Seite aufzurufen, abwürgen. Liege ich in etwa richtig?

Damit kannst Du ggf. darauf reagieren, falls die Ressource GET nicht erlauben soll.

off:PP