Moin!

Ich möchte nicht, dass durch einfache Parameterveränderung bei der URL möglicherweise ein Benutzer etwas sehen kann, was nicht sein soll.

Dann verhindere das serverseitig.

Denn auch "mit Verschlüsselung" würde dein Server ja sonst die Daten rausrücken, obwohl der Benutzer das nicht sehen darf. Denn die Verschlüsselung kann man ja problemlos nachvollziehen, wenn die clientseitig passiert, und mit geänderten Parametern versorgen.

Ich sichere die Abfragen von Daten ja immer ab, dass ein Kunde immer nur seine Daten sieht und wenn er versucht die ID zu ändern, eine leere Rückgabe bzw. keine bekommt, wenn hinter dieser ID nicht seine CustomerID liegt.

Mir geht es nur darum, dass man soetwas nicht in der URL sehen kann.

Wenn du die URL nett haben willst, verwende POST.

Das ganze jedesmal per Session mitzugeben scheint mir auch nicht gerade mit wenig Aufwand verbunden zu sein?

Du kannst nichts "per Session mitgeben", wenn es sich um Userinteraktion handelt.

- Sven Rautenberg