MSO>Злоумышленник узнает ID (номер строки таблицы БД), где хранятся личные данные пользователя.
MSO>Но без физического доступа к этой БД, инфы то он никак не получит ...

в веб-приложении он теоретически может узнать инфу другого юзера, если имеет доступ к той же таблице что и он, но хочет увидеть те строки таблицы которые не предназначены для него, зная номера этих строк. я вижу вопрос в том, как ограничить разных юзеров в просмотре разных строк одной и той же таблицы. у меня лично самое простое решение крутится в голове — в сессии хранить айдишник юзера, и в каждой строке таблицы иметь поле — айди того кто создал эту строку, и плясать от этого. но вот я видел другое немного решение, которое выше в посте описал, и мне интересно что про это скажут профи.