Pero una Predicción de credenciales o suplantación requiere que se haya logueado.
Se supone que la session no empieza hasta que el usuario se loguea.
Si la seguridad del login es correcta y evita el SQLinjection este método no debería poder ser válido ya que le es imposible saber su id u otros datos (salvo que el usuario ya sepa los datos del otro) pero eso ya es otro tipo de vulnerabilidad xD.