Здравствуйте, voviandr, Вы писали:

MSO>>Злоумышленник узнает ID (номер строки таблицы БД), где хранятся личные данные пользователя.
MSO>>Но без физического доступа к этой БД, инфы то он никак не получит ...

V>в веб-приложении он теоретически может узнать инфу другого юзера, если имеет доступ к той же таблице что и он, но хочет увидеть те строки таблицы которые не предназначены для него, зная номера этих строк. я вижу вопрос в том, как ограничить разных юзеров в просмотре разных строк одной и той же таблицы. у меня лично самое простое решение крутится в голове — в сессии хранить айдишник юзера, и в каждой строке таблицы иметь поле — айди того кто создал эту строку, и плясать от этого. но вот я видел другое немного решение, которое выше в посте описал, и мне интересно что про это скажут профи.

Это заведомо неверно: архитектура веб-приложения должна позволять любому юзеру смотреть общие (то бишь PUBLIC/COMMON) поля других уч. записей.
И в зависимости от группы уч. записи (вдруг это Admin) позволять менять или контролировать реквизиты записей таблицы Accounts ...
Да что тут огород городить или велосипед изобретать, достаточно посмотреть как сделано в многопользовательских CMS,
например, та же DLE (Data Life Engine)