id может передаваться get параметром и id задается при в первом запросе, а отправка данных явно не первый
какие защиты, тебе же сказано нужно блокировать повторную отправку данных
я воспринимаю это как 2 js запроса к php/http серверу. там не сказано "2 sql запроса к mysql"