ID из базы же явный
Если есть пользователь 100
Значит до него минимум 99 пользователей
И если подменить user_id, если такое конечно возможно, не откроет ли это доступа к его личным данным?
Возможно стоит использовать случайно сгенерированный хэш и идентифицировать пользователя по нему?
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Можно ли подменить сессию?
Полагаю что такое не возможно и можно спокойно использовать user_id