我已经为我的应用程序学习restapi几个月了。我建立了一个项目，其中有登录，注册，重置密码，更改密码。但我在更新用户映像时遇到了逻辑问题。
例如；当我更改用户密码时，我使用这个； /api/user/updatePassword/{email}/{token}/{password} 我验证电子邮件中的代码（令牌）。如果它是真的并且没有过期，我就改(顺便说一下，token是我发送给用户的代码，实际上不是token）
但我在用户照片中没有选择。当用户使用后端时喜欢； "change the user photo which has this e-mail" 可能会出现api安全问题。
我该如何度过这一关？最佳做法是什么？
（我使用php slim框架和mysql）