L'utente (userid) puo` aver senso spedirlo, la passwd non direi.
E comunque la passwd non dovrebbe mai essere inviata in chiaro: ci sono algoritmi per codificare la passwd di cui non si puo` fare il reverse engineering (ovvero: per cui nessuno finora e` riuscito a farlo, almeno che si sappia): tali algoritmi li trovi gia` pronti per tutti i linguaggi.
Lato server (PHP) puoi controllare la sessione, e verificare che l'utente che invia i dati sia nella stessa sessione.
Per aumentare la garanzia sull'utente, puoi usare un cookie di sessione (che ha una scadenza dopo un certo tempo): al momento di inviare i dati puoi utilizzare qualche dato del cookie sia lato client che lato server (se lo invii assieme ai dati).
E poi dipende dalla garanzia che vuoi dare ai dati: se ci sono dati di carta di credito, forse conviene usare algoritmi di criptazione, se invece sono dati che non vale la pena craccare, non mi preoccuperei troppo.

Rispondi quotando