Und natürlich sollten Manipulation am Code nicht entsprechende Rechte umgehen. z.B. dass sich ein Redakteur selbst URLs zum Löschen beliebiger Datensätze basteln kann.

Das kann man im einfachsten Fall durch eine Übertragung per post sicherstellen.

Und du glaubst auch noch an den Osterhasen?

Was gibt es sonst noch dabei beachten?

Dass du dich ggf. vorher etwas mit der Materie auseinandersetzen solltest, bevor du ein Backend entwickelst.

Wenn du der Meinung bist, dass ein man einen POST-Request nicht manipulieren kann, ist es mit der Sicherheit wohl allgemein nicht weit her.