hi,

function dechif()
  {
   /* $url = Entschluesselungsroutine */
   /* zum Test ==> */
   $url = "http://www......":

};
</script>

<form action="$url" method="post" name="formular" onSubmit="dechif()">

Das bewirkt natürlich nicht das gewünschte.

Da action kein Javascript erwartet, erkennt es dein $url dort natürlich auch nicht als Variable, sondern als den Text "$url".

_Wenn_ du es so machen willst - bedenke, du schließt nicht nur Bots, sondern auch menschliche Nutzer ohne Javascript aus - dann sollte deine Funktion die entschlüsselte Zieladresse direkt dem action-Attribut des Formulars zuweisen.

gruß,
wahsaga