Moin,

Du weißt, wie PHP mit gleichnamigen Parametern umgeht? Ok, worauf ich hinaus will anhand eines Beispiels:

URL: /images.html?action=delete&id=123 (QSA: name=images&action=delete&id=123)

funktioniert wie gewünscht, das Bild wird gelöscht. Anderer URL:
     /profiles.html?action=delete&id=123 (QSA: name=profiles&action=delete&id=123)

tut auch, natürlich per .htaccess abgesichert. Jetzt kommt ein gewitzter User auf diese Idee:

URL: /images.html?action=delete&id=123&name=profiles
                                       ^ hiermit bildet Deine Rule den URL auf Parameter ab

(QSA: name=images&action=delete&id=123&name=profiles)

Nun zeigt die Route auf /profiles.html weil der letzte Parameter den vorherigen überschreibt, Dein Passwortschutz wird umgangen. URLs sind eindeutig, Parameter sind manipulierbar. Deine Parameterkontrolle müsste die Zugangskontrolle mit einschließen und wird dadruch unnötig kompliziert.

MfG