Hello,

und jeder harmlose Spider, der mal mit den Formularfeldern "spielt", kann aus Versehen Einträge löschen, weil der Löschvorgang über einen GET-Request angestoßen wird. Das ist nicht gut - es gilt die Faustregel, dass Requests, die den Datenbestand verändern, möglichst per POST eingereicht werden. Eine wie auch immer geartete Authentifizierung wäre sicher auch keine schlechte Idee.

Und außerdem sollte man eine "Forward-Translation Strategy" benutzen. Dazu werden selektierte Datensätze, die der User sehen und löschen darf, in der Session eingetragen (i.d.R. die ID) und dafür ein Key an den Client gesendet. Dieser Key  kann dann (relativ egal, ob per Get oder Post) zusammen mit der Session benutzt werden, um den Datensatz beim Löschrequest zu identifizieren und zu löschen.

Wenn keine Rücküberstzung mehr stattfinden kann, kann man entscheiden, ob man den Täter gleich verhaften lässt, oder nur dumm grinst.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg