Haverá o dia que desenvolvedores deixarão de passar id de entidade de banco via url.
Este é o mais simples das cagadas que devs fazem e que permite usuário explorar cadastros que a principio não deveriam ter acesso ou conhecimento.

O correto (olha minha autoridade aqui), é fazer como alguns caras feras (eu não sou um) fazem, que é usar um UUID (não importa a versão). Isto evita que o usuário fique incrementando o id para ganhar acesso a outros cadastros pois remove a previsibilidade.

Gostaria de escrever mais, mas me deu preguiça e o intestino me avisou que devo ir na casinha.