ciao,
il metodo più semplice che utilizzo di solito è questo:

1)Al momento del login utente setto una sessione con all'interno ad esempio l'username dell'utente $_SESSION['username'] = "valore_passato nel login";

2) su ogni pagina attivo le sessioni

3) quando un utente richiede dei dati tramite GET la pagina passa l'id che dici tu + la sessione che contiene l'username

4) la query non sarà più solo "where id='user_id" ma "where id='user_id' and username='valore della sessione'"

questa combinazione di dati non permette all'utente di ricevere i dati non suoi tramite get perchè non ci sarà nessuna corrispondenza dell'username

ciao