Mira, como correcto podes hacerlo, pero ya estas yendo un poco mas profundo...el leerte el sid lo podes hacer en muchos lados desde el get, donde por configuraciones se propaga solo, y aun así es muy complicado hacer algo con eso. A lo que voy, es que si alguien con ese conocimiento desea hacerte mal, lo hará seguramente de todas maneras, pero si quieres estar mas seguro, puedes hacerlo también.

PD: Imagino que estarás consiente que el costo de estas comparaciones son mayores para el sistema que estés armando, o sea, no es lo mismo comparar un id así:
"Select * from usuarios where id = ".$codigoUsuario;
que hacer algo como:
"Select * from usuarios where id = MD5('".$codigoUsuario."') ";