Cuando no envias el id de session por la url, se guarda en una cookie, y cada usuario tiene una id de session diferente en sus cookies, no van a poder acceder a datos que no son suyos, porque no tienen la misma session.

Una cosa que te queria comentar es que he visto que haces una redirección con javascript a los usuarios que no pueden acceder ahí, aunque en ese ejemplo no hay problema porque no se mostraría ningún dato, te recomiendo que las redirecciones las hagas con PHP, ya que javascript se puede desactivar y ya no se redireccionará.

EDIT: No leí las demás respuestas

Un saludo