Podes utilizar URL AMIGABLE para minimizar un poco (no del todo) los posibles ataques, de todas formas yo como programador siempre soy muy estricto cuando verifico las acciones a realizar...
No basta con recoger el valor del parámetro url y realizar la acción, siempre debes verificar que el usuario tenga permiso para realizarla, que al realizarla los datos enviados sean correctos.
esto para mi no es una buena practica:
Código PHP:
Ver original<?php
if($_GET['accion'] == 01){
//haga cosas
}
?>
Para mi como mínimo debería hacerse esto (repito "como mínimo"):
Código PHP:
Ver original<?php
if($_GET['accion'] == 01 && $_SESSION['acces'] == TRUE && !empty($_GET['accion']) && $_SESSION['access_type'] == 'admin'){ //haga cosas
}
?>