Se ho capito bene, l'id che hai in sessione è quello dell'utente,
se lo valorizzi solamente dopo il login, quindi dopo un precedente controllo,
in teoria dovresti 'fidarti' che quell'id sia corretto.