è preferibile usare post, non get. altrimenti rischi errori di invio/re-invio non previsti.
l'indirizzo a cui spedire recuperalo dal db, non lasciarlo in chiaro nel form (a meno che non si tratti di un'applicazione riservata, ma anche lì... non sarebbe molto strategico).