Cita:
Iniciado por Italico76 
@webankenovi : no me gusta nada la parte de "en cada peticion", ya que automaticamente estas diciendo al atacante que ese ID es falso
¿Por? no entiendo por que el tuviera que saber que ese id es falso por el simple hecho de que cada peticion se renueve , al modificar ese id en la url ya no seria valido , por lo que le estarias diciendo que solo ese id sea falso o no es el unico con el que se puede acceder a realizar la accion , mas bien no es falso tan solo es un identificador de una session donde se almacena el id original.
Cita:
Iniciado por Italico76 Por otro lado si estas logueado, al menos el ID de tu identificacion como usuario en la base de datos no es crtiica, ya que te identifica solo a ti : incluso puedes no hacerle ningun tipo de manipulacion.
Por otro lado.. si son IDs de otros usuarios, aplica el primer parrafo... no tiene sentido porque es demasiado obvio y mantener un ID falso por session para cada perfil visitado (por ejemplo) de otros usuarios seria llenar de cosas para recordar en variables de session, tampoco le veo mucho sentido.
En todo caso:
Ofuscar lo que no le compete al usuario (IDs de otros usuarios por ejemplo, IDs de productos en una base de datos, etc..) y mostrarle transparentemente SU ID
mas bien mi posible solucion es mas destinada a realizar acciones tal como se puede ver en el ejemplo , modificar eliminar etc...