Это не плохая вещь в URL-адресе, так как он не имеет большого значения для конечного пользователя - он плох, только если вы полагаетесь на это значение при запуске вашего приложения.Например, вы не хотите, чтобы пользователь заметил, что userId = 5, и измените его на userID = 10, чтобы отобразить учетную запись другого человека.
Было бы намного безопаснее хранить эту информацию в сеансе насервер.Например, когда пользователь входит в систему, его значение userID сохраняется в сеансе на сервере, и вы используете это значение при каждом обращении к базе данных.Если вы сделаете это таким образом, обычно не будет необходимости проходить через userID в URL, однако это не повредит, потому что он не используется вашим кодом запроса к БД.