2.) jo, de erre tamaszkodva nem ersz el semmit, csak bosszantod a felhasznaloidat. Kismillio modja van, hogy ez ne mukodjon egy oldalon, vagy ne erjen semmit (gyorsbillentyu, firebug/inspector, noscript stb).
3.) itt telnet kliens alatt nem tavoli hozzaferest ertenek, hanem azt, hogy ha egy telnet klienssel belepsz a 80-as portra (tehat nyitsz egy socket-et), es beirod a nyers HTTP kerest, akkor ugyanott vagy (a szerver szempontjabol), mintha bongeszovel nezed meg. Olvass utana egy kicsit a HTTP protokollnak es ugy altalaban a halozat mukodesenek.
Amugy ha urlap vedelmet akarsz (gondolom CSRF ellen akarsz vedekezni), akkor valami token rendszerrel lenne erdemes foglalkozni (minden form-nak van egy ID-je, amit megtartasz valameddig, es csak olyan formot fogadsz el, aminel jo az ID).