Qualsiasi dato in arrivo dall'esterno deve essere validato.

Nel tuo caso, verifica che l'utente loggato abbia i privilegi necessari per accedere alla pagina richiesta. Ad esempio, verifica che l'id passato sia lo stesso dell'utente loggato.