Als URL-Parameter werden sie tatsächlich durch die Formulareingaben ersetzt, wenn das Formular per GET versendet wird.
Aber nicht bei POST

richtig. Aber dann hast du in PHP einen Teil der Parameter in $_GET, einen Teil in $_POST. Find ich nicht schön.

Dafür stellt TYPO3 die Funktion GPvar zur Verfügung, sowas kümmert mich eher weniger :) zudem gäbe es noch $_REQUEST. Man müss ja ohnehin die Werte prüfen - und ob die der Benutzer jetzt über ein Manipuliertes Cookie einschleusen will oder selbst an POST- oder GET herumspielt ist ansich egal.