Sì, ma se il tuo problema è solo di far eseguire le operazioni all'utente giusto, non ha importanza i dati come arrivano, ma solo come l'utente viene riconosciuto e da come dici ha l'id in sessione, quindi tutto ok.
Poi se vuoi parlare della correttezza e sicurezza dei dati in arrivo dal form è un altro discorso.