# IDOR / acciones `action=` — checklist (F10)

- Cada handler comprueba sesión (`SessionGuard`) salvo auth público documentado.
- Mutaciones requieren `csrf` salvo excepciones explícitas (`explorerStorageFilesStream` documentado).
- Rutas de archivos: siempre `PathSecurity::underRoot` con raíz `media/explorer/files` o equivalente.
- Compartir: token firmado + `rel` saneado; comprobar `exp`.
- Arquitect: ids `p_[a-f0-9]{12}` únicamente; snapshots con `safeRelative`.
- Admin / usuarios: roles `admin` vs `super_admin` en acciones destructivas.