Kullanıcı için gizli kalması gereken bir değeri session a atamayın, şifre gibi. Kullanıcı adı atanmasında bir sakınca olacağını düşünmüyorum. id değeri de bir nevi gizli bilgi sayılabilir. Şüpheleriniz varsa ve yine de tutmak istiyorsanız bir şifreleme algoritmasından geçirip öyle tutun. md5 olabilir ama sonradan decode edilebilecek bir yöntem istiyorsanız ona göre araştırma yapabilirsiniz. lastinsertid de veri tabanına son kaydedilen id yi alıyor, yani server taraflı işliyor.