Una pregunta, Por que es tan inseguro traer a la parte del cliente la id de un usuario? de todas formas es algo publico que en la mayoría de paginas de usuario se ve públicamente en la url. Por otra parte, los permisos de quien puede o no puede modificar la base de datos, los decís por parte de lenguaje del servidor o referente a las sesiones de la DB?