¿y como haces eso en cake? Yo no veo ninguna opción en el link del html helper para cambiar el envio de parámetros por la url. Si lo hay para los formularios claro pero cuando ves un registro y le das al link de borrar eso se pasa por la url.

Aún no lo he hecho porque estoy iniciándome pero yo creo que la solución a eso debe ser que en la url no vaya solo la acción sino el identificador de sesión. De esa forma si copian una url en otra sesión no funcionará porque el identificador no será el mismo. Aún así existe el riesgo de que un usuario malintencionado en su sesión haga cosas indebidas, pero ese ya es otro problema. Para eso la solución en la que pienso es que haya un sistema de login que te obligue a identificarte y que haya un sistema de log que grabe lo que has hecho.

También he visto que hay opciones de acl y seguridad que aún no se como funcionan pero he visto que se pueden utilizar para resolver problemas de ataques por desbordamiento, etc osea que es algo que tengo por mirar.

De momento bastante tengo con insertar, editar, borrar registros como para andar en eso pero es un camino que tengo por andar.