При работе с формами классическими являются уязвимости классов SQL-injection и XSS. Подделка HTTP запросов в таких случаях нужна, если помимо введенных тобой в форму данных отправляются еще какие-то hidden поля, либо введенные тобой данные фильтруются JavaScript'ом (ну или vbscript'ом) перед отправкой.
Хотя я встречал и php-инъекцию в hidden поле