Perché non fai nessun controllo sull'id dell'utente loggato.

Codice PHP:
if ( $_SESSION['id_utente'] != $_GET['id_utente'] )
{
    echo "A bello, non fare il furbo, usa l'id tuo!";
}
else
{
    // tutto ok, mostri la pagina per la modifica
Potresti anche evitare del tutto l'id nell'indirizzo, prendi direttamente l'id in sessione.

Una cosa, scrivere <?phpsession_start() tutto attaccato non è una buona idea.