Почему лучшей практикой удаления сущностей из базы данных считается через форму, а не просто GET ссылкой?

Question

[Quber]

При удалении, у меня на сайте, проверяются права у авторизированного пользователя на выполнение этого действия. Если прав нету, то и удалить не получится. Однако на том же stackoverflow рекомендуют выполнять такие действия как удаление через форму и методом DELETE.

Ну с методом понятно. А вот почему не рекомендуется ссылкой?
Это влияет на безопасность или это так общепринятые правила?

Answer 1

[Евгений]

гетом не рекомендуется потому что
img src="del.php?id=1"
если разместить такую картинку где угодно можно заставить тебя удалить запись когда ты ее увидишь, если при этом нет защиты от csrf

Comments

[Quber]

мощно. спасибо.

Answer 2

[4ikist]

В первую очередь - запросы сохраняются в логах, а ещё индексация.

Comments

[Quber]

Про логи понял. А про какую индексацию Вы имели ввиду?

[MintTea]

Поисковые роботы, особенно тупые и не понимающие rel nofollow, будут переходить по таким ссылкам, и добавлять эти страницы в поисковый индекс

Answer 3

[Rsa97]

RFC 7231
Клиент, посылая запрос GET вправе рассчитывать, что состояние сервера в результате запроса не изменится.

Comments

[Евгений]

ну вот я на сайт зашел GET / , в базе обновилось время моего последнего посещения, тоесть состояние изменилось

[Rsa97]

Nc_Soft: Это изменение состояния, так же, как и запись в логи, будет в общем случае безопасным. А теперь представьте web-спайдера, который наткнулся на кучу GET-записей с ?do=delete.

[Евгений]

Rsa97: ну и получит 401 not authorized

Answer 4

[Arman]

Хороший тон делать все действия через кнопки и желательно отправлять как POST-данные. Так с F5 или открытия старой закладки не выполнит действие повторно. GET-данные с формы хороши, когда надо сохранить урл результата действия, например форма поиска. Я вообще сделал что все формы идут на *.php урлы, которые в свою очередь проверяют, перед основным действием, отправляешь ли ты данные как POST. А обычные страницы у меня *.html