Bem, assim que você expor os parâmetros ao usuário, o invasor saberá que eles serão analisados. Nesse caso, show.php?id=foo pode ser usado para carregar um site chamado foo .
No código, pode ser assim:
$site = $_GET['id'];
content_query = "SELECT content FROM sites WHERE name ='" + $site + "';";
# do some manual SQL queries
# then output the content
echo("<div id='content'>" . $content . "</div>");
Obviamente, é nesse ponto que o parâmetro é propenso a injeção de SQL , em que um invasor pode facilmente exibir ou descartar todo o conteúdo banco de dados.
Ou o site pode ter alguns sites "ocultos" que não estão publicamente vinculados, mas ainda acessíveis. Digamos que você tenha sites públicos com IDs de 1 a 100 e, em seguida, um invasor pode adivinhar que você também tem um site em show.php?id=101 ao qual você não deseja vincular.
Observe que, nesse contexto, um "idiota" é apenas alguém que não protege seu site adequadamente e que o expõe isso através do Google - não é o nome do vetor de ataque.