Originariamente inviato da _debo
Usare il metodo post anziché il metodo get.
Anche ma non solo. Anche i dati post si possono cambiare abbastanza facilmente.
Oltre a usare POST, quindi, direi che nel tuo codice dove effettui la cancellazione devi come minimo controllare che quel record sia di proprietà di quell'utente o, vista al contrario, che l'utente abbia il permesso di agire su quel record. Questo come minimo, poi ci potrebbero essere molti altri metodi per rendere più sicure le operazioni sui dati.