Secondo te, nella tabella session (session_id, user_id, expires), tabella che utilizzo per salvare gli utenti collegati o comunque tutti gli accessi, mi conviene generare anche un ID qualunque (come quello dei cookie) invece di metterci l'user_id per evitare l'SQL injection?