Creo que lo suyo es que uses la variable de sesion, ya que la controlas tú.
Imaginate que por un casualidad alguien en el campo hidden donde tu guardas el id del usuario, lo cambia con el firebug (por ejemplo) e introduce el id de otro usuario que tengas registrado en tu base de datos.
Posiblemente si no haces las oportunas comprobaciones estas dejando en manos del usuario el que los datos que introduzca vayan a parar a otro usuario.

NUNCA DEJES NADA EN MANOS DE UN TERCERO Y MENOS SI NO LO CONOCES.