A ver, un poco de seguridad:

1- El usuario solicita el mensaje con ID 1525
2- Primero que nada, se debe tratar de un usuario registrado, si no lo es, die()
3- Buscas el mensaje en base de datos, si no existe, die()
3- Lees el mensaje, seguramente tienes una columna para saber a quien pertenece, digamos que es "owner"
4- Si "owner" no es igual a la ID de usuario en sesión, die()

Si tienes perfiles o grupos de usuarios, entonces tal vez también debas revisar permisos, si puede enviar, modificar, eliminar, etc.