@webankenovi : no me gusta nada la parte de "en cada peticion", ya que automaticamente estas diciendo al atacante que ese ID es falso

Por otro lado si estas logueado, al menos el ID de tu identificacion como usuario en la base de datos no es crtiica, ya que te identifica solo a ti : incluso puedes no hacerle ningun tipo de manipulacion.

Por otro lado.. si son IDs de otros usuarios, aplica el primer parrafo... no tiene sentido porque es demasiado obvio y mantener un ID falso por session para cada perfil visitado (por ejemplo) de otros usuarios seria llenar de cosas para recordar en variables de session, tampoco le veo mucho sentido.

En todo caso:

Ofuscar lo que no le compete al usuario (IDs de otros usuarios por ejemplo, IDs de productos en una base de datos, etc..) y mostrarle transparentemente SU ID