Schönen guten Morgen, lieber Felix,

Im Link wird dann nur noch die laufende Nummer des Listeneintrags als Parameter geführt:

Nein, eben nicht. Links kann man manipulieren und damit könnte man problemlos Aktionen für andere auslösen. Der Hash hat, wie eine PHP Session-ID, den Sinn, einen nicht erratbaren Schlüssel einzusetzen.

Bei näherem Nachdenken: wenn man nur den Code in den Link setzt, muss es auch kein Hash sein, es könnten auch einfach 32 random_bytes generiert und als 64-stelliger Hex-String verwendet werden. Oder 33 Bytes, die base64-codiert zu 44 Zeichen werden - wie auch immer. Aber keine fortlaufende Nummer. Das eröffnet dem Schabernack zu viele Möglichkeiten.

Rolf