Tach!

ich will verhindern, dass in der Adressleiste angezeigte Parameter, wie "Lösche Eintrag Nr. 2", manipuliert werden können.

Sowas kannst du nicht verhindern. Und aus Sicht des Webserver bekommst du lediglich Requests. Wie diese gestaltet oder verunstaltet sind, kann dir im Prinzip egal sein. Selbst die Reihenfolge ist in den meisten Fällen belanglos. Du kannst sowieso nicht feststellen, ob da jemand in seinem Browser was geändert hat, das zwar einem deiner gültigen Muster entspricht, er aber nicht hätte aufrufen dürfen, oder ob er einem von dir vorgegebenen Link gefolgt ist. (Löschen sollte man sowieso nicht über Links/GET sondern POST machen, weil sonst jeder Linkchecker, Prefetcher oder Suchmaschinen-Crawler ungewollte Löschaktionen vornehmen kann. POST wird üblicherweise nicht von gutwilligen Automaten ausgelöst.)

Hauptsache du bekommst einerseits alle notwendigen Parameter und die damit verbundene Aktion ist andererseits für den aktuellen Benutzer gestattet. Es reicht völlig, wenn du eine Plausibilitätsprüfung und eine Berechtigungsprüfung einbaust. Diese beiden brauchst du sowieso, anderes ist in der Regel nicht notwendig.

dedlfix.