Защита от удаления

Классика CSRF уязвимости.

Во-первых: ничего не удаляйте и не изменяйте по GET-запросу. GET-запросы должны только читать, по стандарту полагается, что они не изменяют состояние системы, потому безопасны и могут выполняться многократно. Иногда даже без ведома пользователя, например, для фоновой подгрузки следующей страницы. Для изменения состояния используйте POST-запросы.

Исключением является только та ситуация, когда вам действительно нужен GET-запрос. Например, для ссылки "отписаться" в рассылке или других, где вы понимаете, что и зачем делаете.

Во-вторых: так же не составляет труда попросить выполнить браузер при заходе на специально-оформленную страницу простой POST-запрос без ведома пользователя (в частности, как результат XSS атаки). Изменяющие данные запросы должны быть защищены токеном безопасности, который должен передаваться вместе с запросом.

Не совсем понял зачем тег <img>, но лучше использовать метод POST как говорилось выше. У меня например при клике на кнопку вызывается модальное окно в котором спрашивается действительно ли я хочу совершить данное действие, будь то удаление или редактирование (так сказать защита от случайного действия), при нажатии на кнопку "Да" отправляется AJAX запрос с данными (например ID) методом POST после чего обрабатывается и выполняется действие, и то при условии что уровень доступа администратор, а при нажатии кнопки "Отмена", модальное окно закрывается.