Lo que planteas esta bien, el tema es que lo recomendable no es pasar el id de sesion por la query. Podes usar cualquier otro dato, llamalo hash, identificador único, como te parezca.
La idea sería esta:
Al momento de generar la sesion cuando autenticas generas una nueva variable llamada pepito, $_SESSION['pepito] = uniqid();
La función uniqid() genera un valor aleatorio. Este es el valor que vas a pasar en cada query, el cual debe ser requerido para ejecutar una determinada acción.
Como ese dato "pepito" lo tenes un tu sesion, lo podes comparar con el valor que viene en la query:
Código PHP:
Ver originalif($_SESSION['pepito'] = $_GET['hash']){
// realizo la accion
}else{
// no la realizo
}
Ejemplo de uso:
eliminaramigos.php?idamigo=280&hash=4b3403665fea6
Por cierto, nombre "pepito" a la variable por decir algo, para ilustrar el ejemplo.