POST tampoco soluciona el problema de que pueden facilmente eliminarte todos los registros si envias una ID numerica en la peticion y encima son numeros consecutivos.


Creo lo mejor SI es usar GET para recuperar recursos y POST para modificar / eliminar / crearlos pero enviando en cada caso el ID de una forma distinta (en el caso de por GET haciendo un HASH complicado que lo convierta en una cadena alfanumerica compleja o usando urls amigables)