Вы действительно должны требовать почтовый запрос при удалении. В CodeIgniter это может быть так же просто, как проверка $ this-> input-> post ('Подтвердить')
Часть оправдания - вы не хотите, чтобы данные изменялись при получении запроса. Поскольку вы сказали, что требуете, чтобы этот человек был владельцем, по-прежнему существует проблема, заключающаяся в том, что кто-то помещает изображение с источником http://domain.com/item/delete/100. так что злоумышленник все равно сможет создать запрос на удаление, если вы не правильно фильтруете ввод.
Я должен признать, что я немного пурист и просто чувствую, что требовать должности - это правильный путь. Это то, как были написаны стандарты (хорошо, вы можете утверждать, что это должен быть запрос DELETE, но браузеры обычно не поддерживают их), а в других случаях вам действительно нужно их использовать (были случаи, когда веб-сканеры удаляли страницы).
Если вы хотите, чтобы ссылка для удаления была http://domain.com/item/delete/100, вы можете отобразить подтверждающее сообщение с формой, которая выполняет действие после публикации в качестве подтверждения удаления.
Надеюсь, это поможет,
Билл