Was meinst du genau mit POST erzwingen?
Naja. Ich hab WIRKLICH schon mal etwas wie:
http://HOSTNAME/login.cgi?user=USERNAME&PASS=GeHeim
als Resultat eines Login-Formulars in der URL-Zeile eines Browsers gesehen. Das wäre GET statt POST (außerdem Klartext). Ob die Passwörter gehasht gespeichert wurden brachte ich nicht mehr wissen wollen - denn in den Logfiles des Webservers und jedes Hotelproxys (und der URL-Zeile) standen die für quasi jeden sichtbar im Klartext…