Por eso nunca hay que generalizar. Decir que hay que enviar los datos $_POST y $_GET encriptados con cualquier hash es demasiado general.

Hay que ser más específicos con lo que se dice. Luego nos quedamos con ideas extrañas.

Hablando de javascript, siempre hay que hacer la doble comprobación, desde servidor como en navegador, por que con desactivar javascript, cosa que es muy simple, se te cae toda la seguridad.