Dipende dove sono i dati che verifichi poi sul db, se sono in sessione sei già suficientemente a posto, se invece per esempio passassi tramite url l'id dell'utente sarebbe pura follia, ma penso che tu non faccia così.