No he leido todo, pero si algo de que no guardan el id pasado por md5 por que es peligroso igual.

La cosa es asi, pasas el id por md5, pero poniendole un poco de "sal", entonces, si antes haciamos:

$id = 1;
$guardo = md5($id);

Ahora harías:

$id = 1;
$hash = "hga87)*2lkjh";
$guardo = md5($hash.$id);
Y para validarlo es de la misma manera.

Este $hash lo guardan en un include, y lo pueden regenerar cada x tiempo, o concatenarle algo como date("m"), entonces, se pueden cansar de pasar numeros por md5, que sin la sal no lo encontraran...

Espero que se haya entendido y les sirva.


PD:Hay maneras de hacer esto mas complejo, pero me parece que no para este caso.