设置与 GET 参数相同的 $_SESSION 值是否存在安全风险 - PHP？

我看过一个 PHP 安全教程，其中说由于会话劫持和固定，从不接受来自 GET 或 POST 变量的 $_SESSION 标识符。令人讨厌的是，它并没有详细说明这一点。

在我正在构建的应用程序中，我有一个 $_SESSION 值，它是用户登录时设置的 $username 变量。该值取自数据库，但稍后通过 URL 参数在 GET 请求中使用：

$_SESSION['username'] = $username;

注意：$username 和所有其他数据会在进入数据库时进行清理，并在从数据库中提取时进行转义。

上面的会话名称是真正的禁忌吗？如果这确实是不好的做法，我是否应该使用数据库中的用户 ID 或从未公开显示的类似信息（例如在 url 参数中）？

使用 $username 变量很方便，因为我也通过 $_SESSION 值在 url 参数中使用它，示例如下：

<a href='<?PHP echo "profile.PHP?username={$_SESSION['username']}"; ?>'>My Profile</a>

当用户登录时，实际会话 ID 会使用 session_regenerate_id(true); 重新生成，因此每次用户通过身份验证时每个会话的 ID 都会更改。

任何建议将不胜感激。