Claro les comprendo, pero aun no llego a esa parte, generalmente mi forma de trabajar es así:
1- Desarrollo el sistema de tal forma que haga lo que debe hacer.
2- Comienzo con el login y las variables de sesión.
3- Hago las validaciones de seguridad necesarias, si el usuario tiene o no permiso de X o Y acción o de X o Y pantalla del sistema.
No se si sea la mejor manera pero funciona, y nunca he tenido problemas de seguridad y todas las validaciones de seguridad las realizo del lado del servidor.
Cita:
Iniciado por Triby 
Las vulnerabilidades de una web no es por usar GET o POST, sino por la falta de validación del lado del servidor. Imagina que un usuario malintencionado analiza tu código y se da cuenta cómo funciona lo de eliminar; fácilmente puede crear un formulario para ir borrando lo que le plazca.
Recuerda, todo lo que se hace en el navegador se puede modificar, ya sea que lo hagas con html o javascript; es por eso que debes realizar TODAS LAS VALIDACIONES en el servidor.
Triby, agradecería que con "palabras normales" (para que no pongan un amplio articulo de un sitio web) me explique como es que alguien puede ver/analizar mi código php desde fuera de mi servidor, si hasta donde se, el código php nunca se muestra del lado del cliente??
Porque pueden ver que un botón o un link lleva a un archivo delete.php pero aunque lleguen a esa ruta nunca verían el código, es mas mis archivos del tipo CRUD si no hay un $_POST redirige a una pantalla de error, voy bien o no ??