Nunca, nunca nunca uses el método GET para lanzar acciones que cambian el modelo, no es lo más adecuado, para eso existe POST, o PUT. GET es para regresar datos, cuando vayas a borrar, o a actualizar hazlo por POST es lo más seguro.

Segundo fuera de eso necesitas siempre validar que la acción que va a realizar el usuario, sea la adecuada, nunca te fies ni asumas, siempre checa roles, permisos etc en cada request, si te fias te pueden meter un gol.

Saludos.