A zar vec ne znas ID korisnika koji salje poruku?
recimo cim se loguje u sesiji smestis nesto kao user_id i uvek znas ko sta radi.
Jer ovim tvojim sistemom, moze se lagati sistem da neko drugi salje nekom drugom poruku, kako god da kriptujes, to kriptovano moze se provaliti (osim ako nije neki temp kript).
Primer:
osoba A, osoba B i osoba C
Ja se logujem kao osoba A, odem da posaljem poruku osobi B, vidim njegov kriptovan id, odem da posaljem poruku osobi C, umesto svog ubacim kriptovan ID odobe B, i napravim situaciju da je osoba B rekla osobi C sve i svasta.
Kako god da resis da kriptujes, po meni je ovaj konkretan slucaj veoma lose resenje.
Ako ID posiljaoca uzmes iz sesije, nema potrebe ni da kriptujes id primaoca, taj je ID koji je, nebitno je. ako promeni neko ID u url, promenice samo recipienta, sto ionako moze da uradi ako odabere drugog clana kome salje poruku, nikakav problem nije tu onda.