ну на счет безопасности тут можно додумать что еще записать при инициализации пользователя, например ту же саму сессию и проверять таким образом что месседж принадлежит действительно отправителю, писать в базу сессию я бы не стал.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.