Hallo,

<a href="index.php?module=images&amp;image={$image.name}&amp;action=delete&amp;token={$token}">

>   
> Prüfe, welche Parameter tatsächlich übern URI geschleift werden müssen.  
  
Wenn wir schon dabei sind:  
  
Nicht idempotente Requests mit serverseitigen Nebeneffekten sollten nicht mit GET gemacht werden, sondern mit POST/PUT/DELETE usw. Der CSRF-Token ist dann Teil des Request-Bodys. Der sollte nämlich nicht Teil der URL sein, denn die URL leakt gerne.  
  
Mit »resourceful« URLs (auch »RESTful« genannt), würde obige URL auf /images/{id} zusammendampfen, das passende HTTP-Verb ist DELETE. Das wird in der Regel mit einem POST-Formular und einem \_method=delete-Parameter oder ähnlich emuliert.  
  
Mathias